Moloch 流量监控服务器的详细配置
Moloch是一个开源的、大规模的、完整的数据包捕获、索引和数据库系统。Moloch增强了当前的安全基础设施,以标准的PCAP格式存储和索引网络流量,提供快速、索引的访问。为用户快速的浏览、索引和导出提供了直观而简单的web界面。
下面我们来介绍它的安装及配置。
Moloch系统主要由三部分组成
1. Capture 一个线程使用C语言编写用于监控网络流量,将PCAP格式化文件写入磁盘,解析所捕获的数据包并将元数据发送到ElasticSearch。
2. Viewer 一个node.js应用用于运行每个捕获器(capture)并处理web接口和传输中的文件。
3. Elasticsearch 为moloch提供检索数据库的技术。
安装下载ElasticSearch
1. 修改配置文件elasticsearch.yml 中的network.host:服务器的IP
2. 在bin下,执行 ./elasticsearch
3. 在浏览器中测试,输入 http://服务器IP:9200/_cat
出现上述内容,表示ES启动成功。
安装下载Capture
官网地址:http://molo.ch/#downloads
我使用的是centos7版本的,大家可以根据自己服务器的配置选择合适的版本下载。
1. 下载完成后,将压缩包上传到服务器,发现压缩包的后缀比较麻烦,如下:
① 安装 gcc : yum install gcc
② 先下载一个p7zip软件包 : http://download.csdn.net/detail/aboboo5200/9726771
③ 解压压缩包 :tar -jxvf 软件包
④ 进入目录,执行make && make install命令,没有报错说明安装完成。
⑤ 然后用命令解压moloch文件:7za x moloch-0.50.0-1.x86_64.rpm.7z
⑥ 然后解压rpm包 :rpm -ivh moloch-0.50.0-1.x86_64.rpm 这里应该会有报错信息,需要一些依赖。
我们采用yum命令安装:
yum install wget curl pcre pcre-devel pkgconfig flex bison gcc-c++ zlib-devel e2fsprogs-devel openssl-devel file-devel make gettext libuuid-devel perl-JSON bzip2-libs bzip2-devel perl-libwww-perl libpng-devel xz libffi-devel
yum install libyaml-devel
执行完这两句命令,就可以开始解压moloch的rpm压缩文件了。
根据上面的提示,可以发现解压后的moloch是在 /data/moloch目录下。
⑦ 进入到bin目录下,执行 ./Configure
⑧ 按照上述提示的步骤进行操作
我是自己安装的Elasticsearch,所以走步骤5
进入到db目录下,执行 ./db.pl http://ESHOST:9200 init
Add an admin
在bin目录下执行 sh moloch_add_user.sh <自己设置登陆的用户名> “别名随意定义” <自己设置登陆密码> --admin
⑨ 修改moloch etc/config.ini 配置文件
elasticsearch = http://localhost:9200
Interface = eth1
pcapDir = /data/moloch/pcap 指定存储pcap文件的路径,提前makedir
dropUser = root 指定用户和用户组,要有写pcap的权限
dropGroup = root
⑩ 修改 viewer/config.js
configFile:” /data/moloch/etc/config.ini ”
⑪ 启动capture 和 viewer
systemctl start molochcapture.service
systemctl start molochviewer.service
可以在logs 目录下,查看启动运行的一些日志信息。
测试
在浏览器中,输入 http:// 服务器IP :8005
在用户名和密码栏输入,刚刚添加的web访问的用户的信息。
表示配置成功