CentOS7下部署开源网络流量回溯分析系统Moloch
CentOS7下部署开源网络流量回溯分析系统Moloch
Moloch 是一个由AOL开源的,能够大规模的捕获IPv4数据包(PCAP)、索引和数据库系统,由以下三个部分组成:
1)capture :绑定interface运行的单线程C语言应用
2)viewer :运行在capture主机上的node.js web应用
3)elasticsearch : moloch的数据检索驱动
1、下载Moloch CentOS7版本的RPM包
https://molo.ch/downloads
https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.4.0-1.x86_64.rpm
另外下载elasticsearch Linux系统的RPM包 https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.9.1-x86_64.rpm
2、上传jdk,配置jdk环境变量
tar -zxvf jdk-8u261-linux-x64.tar.gz -C /usr/local/
cd /usr/local/
mv jdk1.8.0_261 jdk
echo "export JAVA_HOME=/usr/local/jdk" >> /etc/profile.d/java8.sh
echo "export PATH=$PATH:$JAVA_HOME/bin" >> /etc/profile.d/java8.sh
echo "export CLASSPATH=.:$JAVA_HOME/jre/lib:$JAVA_HOME/lib:$JAVA_HOME/lib/tools.jar" >> /etc/profile.d/java8.sh
source /etc/profile.d/java8.sh3、安装并配置elasticsearch
1)调整JVM内存大小
cd /opt/
rpm -ivh elasticsearch-7.9.1-x86_64.rpm
cd /etc/elasticsearch/
vi jvm.options
2)修改elasticsearch配置文件
cd /data
mkdir /data/elasticsearch
mkdir -p /data/log/elasticsearch
chown -R elasticsearch:elasticsearch elasticsearch
chown -R elasticsearch:elasticsearch log
vi /etc/elasticsearch/elasticsearch.yml
#修改如下几个地方
path.data: /data/elasticsearch
path.logs: /data/log/elasticsearch
network.host:10.20.90.46
http.port:9200
discovery.seed_hosts: ["10.20.90.46"]
3)启动elasticsearch
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
最后可以curl http://IP:9200测试服务是否正常运行
4、安装Moloch
yum localinstall moloch-2.4.0-1.x86_64.rpm
5、Moloch初始化配置
cd /data/moloch/bin
./Configure
选择需要监控的网卡 也就是你的镜像流量对应的网卡
/data/moloch/db/db.pl http://10.20.90.46:9200 init出现如下报错时 Couldn't GET http://10.20.90.46:9200/_cluster/health the http status code is 503 are you sure elasticsearch is running/reachable? at /data/moloch/db/db.pl line 277.
解决办法如下
vi /etc/elasticsearch/elasticsearch.yml
修改配置文件如下行,配置node.name及cluster.initial_master_nodes,然后重启elasticsearch
node.name: es-node
cluster.initial_master_nodes: ["es-node"]
systemctl restart elasticsearch.service
继续初始化配置
/data/moloch/bin/moloch_add_user.sh admin "Admin User" admin --admin
systemctl start molochcapture.service
systemctl start molochviewer.service
netstat -anp | grep 8005
6、web登录并体验Moloch
http://IP:8005,密码为之前的初始化时设置的密码
具体使用帮助可以点击猫头鹰头像
7、开启镜像网卡的混杂模式
ifconfig ens33 promisc
- MVC结构简介
- 优酷、爱奇艺、摩拜……多家网络平台被曝注册容易注销难!面临个人隐私泄露风险
- WordPress中借助.htaccess屏蔽某个IP或某个IP段(防垃圾评论)
- ASP.NET 调味品:AJAX
- CTreeCtrl 控件使用总结
- 高盛成立交易部门,涉足比特币和加密货币交易
- WordPress主题开发:添加主题更新提醒功能
- WordPress主题开发:添加主题更新提醒功能
- ASP.NET2.0应用中定制安全凭证之实践篇
- Kaggle大神带你上榜单Top2%:点击预测大赛纪实(下)
- WordPress主题后台选项开发框架 Options Framework 介绍
- vc++ 在程序中运行另一个程序的方法
- 为Options Framework主题后台框架添加后台侧边栏
- ClistCtrl用法及总结(由怎样隐藏ListCtrl列表头的排序小三角形这个bug学习到的知识)
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法