码迷,mamicode.com
首页 > 其他好文 > 详细

Centos7安装moloch步骤

时间:2019-10-24 13:12:19      阅读:100      评论:0      收藏:0      [点我收藏+]

标签:初始化   自己   适合   ofo   流量   top   日志   inux   artifact   

Centos7安装moloch步骤

Moloch 是一个由AOL开源的,能够大规模的捕获IPv4数据包(PCAP)、索引和数据库系统,由以下三个部分组成:

  • capture :绑定interface运行的单线程C语言应用
  • viewer :  运行在capture主机上的node.js web应用
  • elasticsearch : moloch的数据检索驱动

         Capture (绑定 interface 运行的单线程 C 语言应用 )用来抓取流量并以 pcap 的格式存储到硬盘上面,还会存一份对应关系到 elasticsearch (moloch 的数据检索驱动)中,Viewer(运行在 capture 主机上的 node.js web应用 ) 提供 web 界面,以下为 Moloch 的单个主机部署架构图。

技术图片

Moloch优势:

  • 1 moloch 公开了API ,允许 pcap 数据和 json 格式的会话数据直接下载和使用。
  • 2 提供直观的Web界面,用于 PCAP 浏览、搜索、分析,Moloch 以标准 PCAP 格式存储和导出所有数据包。
  • 3 可扩展性:Moloch 旨在部署在多个集群系统中,提供扩展可以处理多个千兆位/秒的流量。PCAP保留基于可用的传感器磁盘空间,而元数据保留基于 Elasticsearch 集群的规模。 两种保留大小都可以随时增加。
  • 4 安全: 通过使用具有摘要密码的 HTTPS 或使用提供 Web 服务器代理的身份验证来保护对 Moloch 的访问。 PCAP 都存储在已安装的 Moloch 传感器上,只能通过 Moloch 接口或API访问。 Moloch 支持在静止时加密 PCAP 文件。
  •  简而言之: Moloch 可以保存所有原始数据流量,基于 elasticsearch 及 PCAP 的存储形式使它得以对通信数据流中的元数据进行快速检索。相对来说是一个比较好用的回溯分析系统。

 Moloch官网      Moloch git地址 git主页上REDE有较为详细的安装说明。。。 以下是我的安装记录:

1.  系统要求和环境搭建

  • 存储数据包对机器的性能要求moloch提供了评估页面 Moloch Estimators
  • 本次搭建条件16G  内存,300GB HDD,所有组件都安装在了同一台机器。如果有条件的话,请把Capture MachinesElasticsearch Machines组件分开来安装。
 技术图片

 

 技术图片

 

可根据 PCAP 包的存储天数、TLS (加密数据包保存的百分比)、每台机器的处理能力;ES 日志的存储天数、机器节点等选择适合自己的硬件资源。Moloch 的每个节点需要 64GB - 128GB 内存:ES 为 30GB,OS 磁盘缓存为 34-96GB。对于大型计算机,计划为每个主机运行多个节点。

2.  安装步骤

2.1 安装依赖包

yum install -y wget curl perl-JSON  perl-libwww-perl libyaml-devel

技术图片

2.2 关闭并禁止重启后启动防火墙

systemctl stop firewalld.service    ===>关闭防火墙
systemctl disable firewalld.service  ===>禁止重启后启动防火墙

技术图片

2.3 下载及安装JDK

wget http://iso.epoint.com.cn/JDK/jdk-8u65-linux-x64.rpm
rpm -ivh jdk-8u65-linux-x64.rpm  ##安装jdk

2.4 下载及安装elasticsearch

2.4.1 安装elasticsearch

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.6.rpm  ##下载elasticsearch
rpm -ivh elasticsearch-6.6.1.rpm  ##安装elasticsearch

技术图片

2.4.2 修改配置文件/etc/elasticsearch/elasticsearch.yml 中的network.host:服务器的IP

 技术图片

2.4.3 启动elasticsearch 服务

systemctl daemon-reload     ##重载修改过的配置文件
systemctl enable elasticsearch.service    ##开机启动elasticsearch
systemctl start  elasticsearch.service    ##启动elasticsearch

2.4.4 监听服务端口是否已经启动  

netstat -nlp |grep LISTEN

技术图片

 2.4.5 检查elasticsearch是否正常启动

 在浏览器中测试,输入http://服务器IP:9200/_cat ,查看是否能正常看到类似如下页面即为正常。

技术图片

 2.5 下载及安装Moloch

 2.5.1 https://molo.ch/#downloads官网下载rpm包

技术图片

 2.5.2  安装moloch rpm包

rpm -ivh moloch-master.centos7.x86_64.rpm

技术图片

2.5.3 配置初始化Moloch

/data/moloch/bin/Configure

技术图片

2.5.4 初始化、升级 Elasticsearch Moloch配置

/data/moloch/db/db.pl  http://localhost:9200  init    ##第一次安装初始化、或者想删除所有数据
/data/moloch/db/db.pl  http://localhost:9200 upgrade  ##升级moloch 数据包

2.5.5 添加admin账户

/data/moloch/bin/moloch_add_user.sh admin "Admin User" moloch--admin  ##新增admin账户,密码是moloch

技术图片

2.5.6 开启所有服务

systemctl enable molochcapture.service ##开机启动Capture
systemctl start molochcapture.service  ##启动Capture
systemctl enable molochviewer.service  ##开机启动Viewer
systemctl start molochviewer.service   ##启动Viewer

技术图片

 2.5.7 登陆Moloch  http://172.18.20.223:8005

技术图片

 

 

 

 
 
...

Centos7安装moloch步骤

标签:初始化   自己   适合   ofo   流量   top   日志   inux   artifact   

原文地址:https://www.cnblogs.com/yaoyaojcy/p/11727122.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!