elasticsearch+moloch

Posted 2021-03-07 jianxgin

1.下载elasticsearch-6.8.7  https://www.elastic.co/cn/downloads/elasticsearch

2.下载moloch-2.2.2-1.x86_64.rpm  https://molo.ch/index#home

（注：moloch对ela版本要有很严格，请规范下载。）

3.安装部署elasticsearch：

vim /etc/elasticsearch/elasticsearch.yml

network.host: 10.2.15.231

http.port: 9200

vim /etc/elasticsearch/jvm.options

-Xms32g
-Xmx32g

vim /etc/security/limits.conf

* soft nproc 65535

* hard nproc 65535

* soft nofile 65535

* hard nofile 65535

 

vim /etc/sysctl.conf

vm.max_map_count=262144

kernel.pid_max = 65535

更改后启ela服务会报错的一般都是java的家目录有问题，虽然java -version是1.8版本，但是家目录是1.7.所以会报版本的错。

4.安装部署moloch：

rpm  -ivh  moloch-2.2.2-1.x86_64.rpm 不报错就行，报错一般都是依赖的问题，自己处理。

下载 GeoIP.dat

GeoIPASNum.dat

GeoLite2-Country.mmdb

GeoLite2-ASN.mmdb

等地理数据库文件。

vim /data/moloch/etc/config.ini

interface=eth0;eth1;eth2

elasticsearch = http://本机ip:9200

dropUser = root

dropGroup = root

./db.pl  http://ip:9200 init   #加载数据库信息，一般报错这里会报版本不对应的问题，需从新下载安装对应版本。

 

5.起服务

systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
systemctl status elasticsearch.service   #9200

 

systemctl start molochcapture.service
systemctl start molochviewer.service   #8005默认

 

6.用法：默认服务器本机的数据会存到raw下，取决于本服务器抓的pcap包。也可以自己添加pcap：

./moloch-capture -c /data/moloch/etc/config.ini -r /home/jx/test4.pcapng  --host root

# 　　　　　　　　配置文件目录　　　　　　　　pcap包目录　　　　本机

 

删除pcap包

./moloch-capture --copy --delete /home/jx/test.pcapng --host root

 

7.理解：其实moloch做了很多功能展示pcap数据用于分析网络，一般可以基于此版本做二次开发。更多的FAQ可以查看官网https://molo.ch/faq