文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >专栏 >CentOS7下部署开源网络流量回溯分析系统Moloch

CentOS7下部署开源网络流量回溯分析系统Moloch

作者头像
yuanfan2012
发布2020-09-21 15:40:10
发布2020-09-21 15:40:10
3.1K0
举报
文章被收录于专栏:WalkingCloudWalkingCloud

CentOS7下部署开源网络流量回溯分析系统Moloch

Moloch 是一个由AOL开源的,能够大规模的捕获IPv4数据包(PCAP)、索引和数据库系统,由以下三个部分组成:

1)capture :绑定interface运行的单线程C语言应用

2)viewer :运行在capture主机上的node.js web应用

3)elasticsearch : moloch的数据检索驱动

1、下载Moloch CentOS7版本的RPM包

https://molo.ch/downloads

https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.4.0-1.x86_64.rpm

另外下载elasticsearch Linux系统的RPM包 https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.9.1-x86_64.rpm

2、上传jdk,配置jdk环境变量

代码语言:javascript
复制
tar -zxvf jdk-8u261-linux-x64.tar.gz -C /usr/local/
cd /usr/local/
mv jdk1.8.0_261 jdk
echo "export JAVA_HOME=/usr/local/jdk" >>  /etc/profile.d/java8.sh
echo "export PATH=\$PATH:\$JAVA_HOME/bin" >>  /etc/profile.d/java8.sh
echo "export CLASSPATH=.:\$JAVA_HOME/jre/lib:\$JAVA_HOME/lib:\$JAVA_HOME/lib/tools.jar" >>  /etc/profile.d/java8.sh
source /etc/profile.d/java8.sh

3、安装并配置elasticsearch

1)调整JVM内存大小

代码语言:javascript
复制
cd /opt/
rpm -ivh elasticsearch-7.9.1-x86_64.rpm
cd  /etc/elasticsearch/
vi jvm.options

2)修改elasticsearch配置文件

代码语言:javascript
复制
cd /data
mkdir /data/elasticsearch
mkdir -p /data/log/elasticsearch
chown -R elasticsearch:elasticsearch elasticsearch
chown -R elasticsearch:elasticsearch log
代码语言:javascript
复制
vi /etc/elasticsearch/elasticsearch.yml
#修改如下几个地方
path.data: /data/elasticsearch
path.logs: /data/log/elasticsearch
network.host:10.20.90.46
http.port:9200
discovery.seed_hosts: ["10.20.90.46"]

3)启动elasticsearch

代码语言:javascript
复制
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service

最后可以curl http://IP:9200测试服务是否正常运行

4、安装Moloch

代码语言:javascript
复制
yum localinstall moloch-2.4.0-1.x86_64.rpm

5、Moloch初始化配置

代码语言:javascript
复制
cd /data/moloch/bin
./Configure

选择需要监控的网卡 也就是你的镜像流量对应的网卡

代码语言:javascript
复制
/data/moloch/db/db.pl http://10.20.90.46:9200 init

出现如下报错时 Couldn't GET http://10.20.90.46:9200/_cluster/health the http status code is 503 are you sure elasticsearch is running/reachable? at /data/moloch/db/db.pl line 277.

解决办法如下

代码语言:javascript
复制
vi /etc/elasticsearch/elasticsearch.yml
修改配置文件如下行,配置node.name及cluster.initial_master_nodes,然后重启elasticsearch
node.name: es-node
cluster.initial_master_nodes: ["es-node"]
systemctl restart elasticsearch.service

继续初始化配置

代码语言:javascript
复制
/data/moloch/bin/moloch_add_user.sh admin "Admin User" admin --admin
systemctl start molochcapture.service
systemctl start molochviewer.service
netstat -anp | grep 8005

6、web登录并体验Moloch

http://IP:8005,密码为之前的初始化时设置的密码

具体使用帮助可以点击猫头鹰头像

7、开启镜像网卡的混杂模式

代码语言:javascript
复制
ifconfig ens33 promisc
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-09-10,如有侵权请联系 cloudcommunity@tencent.com 删除
Elasticsearch Service
http
https
网络安全
tcp/ip

本文分享自 WalkingCloud 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

Elasticsearch Service
http
https
网络安全
tcp/ip
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • 1、下载Moloch CentOS7版本的RPM包
  • 2、上传jdk,配置jdk环境变量
  • 3、安装并配置elasticsearch
  • 4、安装Moloch
  • 5、Moloch初始化配置
  • 6、web登录并体验Moloch
  • 7、开启镜像网卡的混杂模式
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论