1.下载elasticsearch-6.8.7  https://www.elastic.co/cn/downloads/elasticsearch

2.下载moloch-2.2.2-1.x86_64.rpm  https://molo.ch/index#home

(注:moloch对ela版本要有很严格,请规范下载。)

3.安装部署elasticsearch:

vim /etc/elasticsearch/elasticsearch.yml

network.host: 10.2.15.231

http.port: 9200

vim /etc/elasticsearch/jvm.options

-Xms32g
-Xmx32g

vim /etc/security/limits.conf

* soft nproc 65535

* hard nproc 65535

* soft nofile 65535

* hard nofile 65535

vim /etc/sysctl.conf

vm.max_map_count=262144

kernel.pid_max = 65535

更改后启ela服务会报错的一般都是java的家目录有问题,虽然java -version是1.8版本,但是家目录是1.7.所以会报版本的错。

4.安装部署moloch:

rpm  -ivh  moloch-2.2.2-1.x86_64.rpm 不报错就行,报错一般都是依赖的问题,自己处理。

下载 GeoIP.dat

GeoIPASNum.dat

GeoLite2-Country.mmdb

GeoLite2-ASN.mmdb

等地理数据库文件。

vim /data/moloch/etc/config.ini

interface=eth0;eth1;eth2

elasticsearch = http://本机ip:9200

dropUser = root

dropGroup = root

./db.pl  http://ip:9200 init   #加载数据库信息,一般报错这里会报版本不对应的问题,需从新下载安装对应版本。

5.起服务

systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
systemctl status elasticsearch.service   #9200

systemctl start molochcapture.service
systemctl start molochviewer.service   #8005默认

6.用法:默认服务器本机的数据会存到raw下,取决于本服务器抓的pcap包。也可以自己添加pcap:

./moloch-capture -c /data/moloch/etc/config.ini -r /home/jx/test4.pcapng  --host root

#         配置文件目录        pcap包目录    本机

删除pcap包

./moloch-capture --copy --delete /home/jx/test.pcapng --host root

7.理解:其实moloch做了很多功能展示pcap数据用于分析网络,一般可以基于此版本做二次开发。更多的FAQ可以查看官网https://molo.ch/faq

elasticsearch+moloch的更多相关文章

  1. Centos7安装moloch步骤

      Centos7安装moloch步骤 Moloch 是一个由AOL开源的,能够大规模的捕获IPv4数据包(PCAP).索引和数据库系统,由以下三个部分组成: capture :绑定interface ...

  2. Enjoy the pain about Moloch

    这echo出来的啥子嘛?意思是小姐姐有自虐倾向?可若是moloch有汉化包或翻译文件,小姐姐至于这么“享受”install的过程吗? 过程都走过了,那就记录一下吧:1.找个Ubuntu镜像,阿里云镜像 ...

  3. Centos7下安装Elasticsearch 5.6.6

    环境 因为elasticsearch是用java编写的,所以需要先安装JDK ES 5,安装需要 JDK 8 以上ES 6.5,安装需要 JDK 11 以上ES 7.2.1,内置了 JDK 12 安装 ...

  4. Elasticsearch之java的基本操作一

    摘要   接触ElasticSearch已经有一段了.在这期间,遇到很多问题,但在最后自己的不断探索下解决了这些问题.看到网上或多或少的都有一些介绍ElasticSearch相关知识的文档,但个人觉得 ...

  5. Elasticsearch 5.0 中term 查询和match 查询的认识

    Elasticsearch 5.0 关于term query和match query的认识 一.基本情况 前言:term query和match query牵扯的东西比较多,例如分词器.mapping ...

  6. 以bank account 数据为例,认识elasticsearch query 和 filter

    Elasticsearch 查询语言(Query DSL)认识(一) 一.基本认识 查询子句的行为取决于 query context filter context 也就是执行的是查询(query)还是 ...

  7. Ubuntu 14.04中Elasticsearch集群配置

    Ubuntu 14.04中Elasticsearch集群配置 前言:本文可用于elasticsearch集群搭建参考.细分为elasticsearch.yml配置和系统配置 达到的目的:各台机器配置成 ...

  8. ElasticSearch 5学习(10)——结构化查询(包括新特性)

    之前我们所有的查询都属于命令行查询,但是不利于复杂的查询,而且一般在项目开发中不使用命令行查询方式,只有在调试测试时使用简单命令行查询,但是,如果想要善用搜索,我们必须使用请求体查询(request ...

  9. ElasticSearch 5学习(9)——映射和分析(string类型废弃)

    在ElasticSearch中,存入文档的内容类似于传统数据每个字段一样,都会有一个指定的属性,为了能够把日期字段处理成日期,把数字字段处理成数字,把字符串字段处理成字符串值,Elasticsearc ...

  10. .net Elasticsearch 学习入门笔记

    一. es安装相关1.elasticsearch安装  运行http://localhost:9200/2.head插件3.bigdesk插件安装(安装细节百度:windows elasticsear ...

随机推荐

  1. python调用golang代码

    一.调用步骤: 将go代码编译成so库 -> python中通过ctypes引用so库并指定需要调用的函数(同时可指定传入参数类型和返回值类型) -> 指定后按python使用函数方式调用 ...

  2. shell_Day06

    sed命令 Linux文本处理三剑客 之 sed sed stream EDite 作为行编辑器,对文本进行编辑(以行为单位进行编辑) 注意:sed编辑文件,却不改变原文件: sed的工作原理: 指定 ...

  3. C#中定时任务被阻塞问题

    目录 解决一个C#中定时任务被阻塞问题 1.摘要 2.C#中定时任务的最简方法 3.定时任务阻塞现象 4.阻塞现象原因分析 5.问题解决 1.摘要 本文会介绍一个C#中最简单定时任务的使用方法,以及会 ...

  4. vue初始化data数据

    初始化data this.$data = this.$options.data() 初始化data中form this.$data.form = this.$options.data().form

  5. python 提取文件的名字 和路径

    # coding=utf-8 import sys import os s = 'C:/Users/Desktop/lesson/python/calss1.py' m_dir = os.path.d ...

  6. 230219 Business 31-48

    31.  31: Maternity LeaveVeronica, when is your baby due?Next month.Are you going on maternity leave? ...

  7. ROS2

    ROS2核心概念 节点 创建节点流程 编程接口初始化 创建节点并初始化 实现节点功能 销毁节点并关闭接口 #!/usr/bin/env python3 import rclpy # ROS2 Pyth ...

  8. Python使用pip安装第三方模块问题

    安装时总会出现错误:pip is configured with locations that require TLS/SSL, however the ssl module in Python is ...

  9. Fedora 切换为阿里软件源

    1.备份原软件源配置 cp /etc/yum.repos.d/fedora.repo /etc/yum.repos.d/fedora.repo.bak cp /etc/yum.repos.d/fedo ...

  10. CAD轴测图怎么画?快来试试浩辰CAD超级轴测命令!

    很多新手设计师小伙伴,不知道CAD轴测图怎么画?其实很简单,浩辰CAD中的超级轴测功能,可以方便地将CAD平面图转化为轴侧图,是绘制管线系统图的好帮手.今天就和小编一起来看看在浩辰CAD软件中通过调用 ...