A-A+

moloch /data/moloch-nightly/etc/config.ini 配置及汉化版说明

2018年10月09日 13:49 学习笔记 暂无评论 阅读 12 views 次

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

这里有一个小坑,需要注意,编辑config.ini 一定要是 UTF-8编码 千万千万不可以是UTF-8 BOM编码保存!!!

# Latest settings documentation: https://github.com/aol/moloch/wiki/Settings
#
# Moloch使用分层系统来配置变量。 这允许Moloch为许多机器共享一个配置文件。 
# 此文件中各节的顺序无关紧要。
#
# 配置变量的顺序:
# 1st) [optional] 首先使用标题为节点名称的部分。 
# Moloch将始终使用节点标记会话:<节点名称>
# 2nd) [optional] 如果节点具有nodeClass变量,则接下来使用标题为nodeClass名称的分区。 
# 会话将使用node:标记,这在观看不同的网络类时很有用。
# 3rd) 最后使用标题为“默认”的部分。
# 

[default]
# 逗号分隔的elasticsearch 主机:端口 组合。 如果不使用Elasticsearch负载均衡器,
# 则可以为每个Moloch节点指定群集中的不同弹性搜索节点,
# 以帮助在高容量群集上分散负载。 For user/password
# use http://user:pass@host:port
elasticsearch=http://0.0.0.0:9200

# 多久创建一个新的elasticsearch索引。 可用参数:hourly,hourly6,daily,weekly,monthly
# 每小时,每小时6,每日,每周,每月更改该值将导致以前的会话无法访问
rotateIndex=daily

# 要使用的Cert文件,如果被注释掉则使用http代替。
# certFile=/data/moloch-nightly/etc/moloch.cert

# 带有可信根/证书的文件。警告!这代替了用自签名证书使用的默认根,并且可以对每个节点进行设置。
# caTrustFile=/data/moloch-nightly/etc/roots.cert

# 要使用的私钥文件,如果被注释掉则使用http代替。
# keyFile=/data/moloch-nightly/etc/moloch.key

# 密码哈希和S2S密码 - 必须在默认部分。由于弹性搜索在默认情况下是开放的,
# 因此我们使用此加密存储的密码哈希值,因此恶意的人无法插入正在运行的新帐户。
# 它还用于安全的S2S通信。 注释为没有用户身份验证。更改值将使所有先前存储的密码不再工作。
# 让这个随机,你永远不需要键入
passwordSecret = root

# 使用不同的密码进行S2S通信,然后使用passwordSecret。
# 必须在默认部分。 让这个随机,你永远不需要键入
#serverSecret=

# HTTP摘要领域 - 必须在默认部分。 更改该值将使以前存储的所有密码不再起作用
httpRealm = Moloch

# Moloch web访问的基本路径。 必须以 a / or 坏事结束
# Default: "/"
# webBasePath = /moloch/

# 使用“分号”;“分离的用于侦听流量的接口的网卡列表”
interface=ens33

# 要忽略的流量的bpf过滤器
#bpf=not port 9200

# yara文件名
#yara=

# 主机连接到wiseService
#wiseHost=127.0.0.1

# 日志查看器对不同日志文件的访问请求
#accessLogFile = /data/moloch-nightly/logs/access.log

# 保存原始pcap文件的目录
pcapDir = /data/moloch-nightly/raw

# 最大原始Pcap文件大小为千兆字节,最大值为36g。
# 这个磁盘应该有至少10个最大文件的空间。
maxFileSizeG = 12

# 回转pcap文件之间的最长时间(分钟)。 
# 默认值为0,表示仅基于当前文件大小和maxFileSizeG变量进行回转
#maxFileTimeM = 60

# TCP超时值。 经过这么多秒的不活动后,Moloch写了一段会话记录。
tcpTimeout = 600

# 无论是活动还是非活动状态,Moloch都会在这么多秒后写一条会话记录
tcpSaveTimeout = 720

# UDP超时值。 Moloch假设UDP会话在这么多秒不活动后结束。
udpTimeout = 30

# ICMP超时值。 Moloch假设ICMP会话在这么多秒不活动后结束。
icmpTimeout = 10

# 将尝试和监控一个近似的最大活动会话数量Moloch / libnids
maxStreams = 1000000

# 在这个多个数据包之后写一个会话记录
maxPackets = 10000

# 当可用空间低于此时以千兆字节为单位时删除pcap文件或者可以将其表示为百分比(例如:5%)。 
# 这不会删除数据库中的会话记录。 建议此值介于磁盘的5%到10%之间。
# 数据库删除由db.pl过期脚本完成
freeSpaceG = 5%

# 默认情况下侦听的端口8005。意为moloch的访问端口
viewPort = 8005

# 要监听的host / ip,默认为0.0.0.0,即ALL
#viewHost = localhost

# 默认情况下,每个节点的查看器进程为 https://hostname:
#viewUrl = https://HOSTNAME:8005

# maxmind geoip国家/地区文件的路径。 从以下地址免费下载:
#  https://updates.maxmind.com/app/update_secure?edition_id=GeoLite2-Country
geoLite2Country = /data/moloch-nightly/etc/GeoLite2-Country.mmdb

# maxmind geoip ASN文件的路径。 下载免费版本地址:
#  https://updates.maxmind.com/app/update_secure?edition_id=GeoLite2-ASN
geoLite2ASN = /data/moloch-nightly/etc/GeoLite2-ASN.mmdb

# rir分配文件的路径
#  https://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.csv
rirFile = /data/moloch-nightly/etc/ipv4-address-space.csv

# 来自whareshark的OUI文件的路径
#  https://raw.githubusercontent.com/wireshark/wireshark/master/manuf
ouiFile = /data/moloch-nightly/etc/oui.txt

# 将特权降至. pcapDir必须可由以下用户或组写入
dropUser=nobody

# 组权限删除权限。 pcapDir必须可由上述组或用户写入
dropGroup=daemon

# 分号“;”标记的分离列表,一旦捕获会话的集合,就会导致剩余的pcap无法保存到会话中。
# 可能初始分组将保存为会话,因为标记通常在几个分组之后才设置。
# 每个标签可以选择后跟一个:指定要保存的总数据包数量
#dontSaveTags=

# 用于确定要在数据库中检入的用户名而不是使用http摘要的标头。 
# 如果apache或其他东西正在进行身份验证,请使用此选项。
# 将viewHost设置为localhost或使用iptables
# http.conf中可能需要添加下面的样式。
# RewriteRule .* - [E=ENV_RU:%{REMOTE_USER}]
# RequestHeader set MOLOCH_USER %{ENV_RU}e
#userNameHeader=moloch_user

# 我们应该解析额外的smtp流量信息吗?
parseSMTP=true

# 我们应该解析额外的smb流量信息
parseSMB=true

# 我们应该解析HTTP QS值吗?
parseQSValue=false

# 我们是否应该计算 sha256 for bodies
supportSha256=false

# 仅索引小于此字节数的HTTP请求体 */
maxReqBody=64

# 只存储Utf-8的请求主体?
config.reqBodyOnlyUtf8 = true

# 分号';' 分隔的SMTP标头列表有ips,需要有终止冒号 ':'
smtpIpHeaders=X-Originating-IP:;X-Barracuda-Apparent-Source-IP:

# 分号';' 从中加载解析器的分隔目录列表
parsersDir=/data/moloch-nightly/parsers

# 分号';' 从中加载插件的分隔目录列表
pluginsDir=/data/moloch-nightly/plugins

# 分号';'分隔了要加载的插件列表和要加载的顺序
# plugins=tagger.so; netflow.so

# 插件以root身份加载,通常只是读者
#rootPlugins=reader-pfring; reader-daq.so

# 分号';'分隔了要加载的查看器插件列表和要加载的顺序
# viewerPlugins=wise.js

# NetFlowPlugin 网络流插件
# Input device id, 0 by default 输入设备ID,默认为0
#netflowSNMPInput=1
# Outout device id, 0 by default  输出设备ID,默认为0
#netflowSNMPOutput=2
# 支持Netflow版本1,5,7,默认为7
#netflowVersion=1
# Semicolon ';' seperated list of netflow destinations 分号';' 分离的netflow目的地列表
#netflowDestinations=localhost:9993

# 指定我们为spidata计算的索引的最大数量。
# 如果我们允许spiData搜索太多的索引,ES它就会崩溃。
spiDataMaxIndices=4

# 取消注释以下内容以允许直接上传。 这是实验性的
#uploadCommand=/data/moloch-nightly/bin/moloch-capture --copy -n {NODE} -r {TMPFILE} -c {CONFIG} {TAGS}

# 标题模板
# _cluster_ = ES cluster name   ES集群名称
# _userId_  = logged in User Id   登录用户ID
# _userName_ = logged in User Name   登录用户名
# _page_ = internal page name   内部页面名称
# _expression_ = current search expression if set, otherwise blank  设置当前搜索表达式,否则为空
# _-expression_ = " - " + current search expression if set, otherwise blank, prior spaces removed  如果设置了当前搜索表达式,则删除空白前空间
# _view_ = current view if set, otherwise blank   设置当前视图,否则为空白
# _-view_ = " - " + current view if set, otherwise blank, prior spaces removed   如果设置了当前视图,则删除空白之前空间
#titleTemplate=_cluster_ - _page_ _-view_ _-expression_

# 处理数据包的线程数
packetThreads=2

# 高级 - 分号';' 要为配置加载的文件的分隔列表。 文件已加载
# 按顺序,可以替换此文件或以前文件中设置的值。
#includes=

# ADVANCED(高级) - 如何将pcap写入磁盘
#  simple          = 使用O_DIRECT(如果可用),在pcapWriteSize块中写入,每个数据包线程一个文件.
#  simple-nodirect = 不要使用O_DIRECT。 zfs和其他人都需要
pcapWriteMethod=simple

# ADVANCED(高级) - 写入pcap文件时的缓冲区大小。 应该是raid 5或xfs条带大小的倍数。 默认为256k
pcapWriteSize = 262143

# ADVANCED - 每次批量索引的字节数
dbBulkSize = 300000

# ADVANCED - 压缩对ES的请求,以增加的CPU为代价将ES带宽减少约80%。 必须在elasticsearch.yml文件中有“http.compression:true”
compressES = false

# ADVANCED - 弹性搜索的最大连接数
maxESConns = 30

# ADVANCED - q中未完成的es请求的最大数量
maxESRequests = 500

# ADVANCED - 要求libnids / libpcap 读取每个轮询/旋转的数据包数
# 增加可能会损害统计数据和ES表现
# 减少可能导致更多丢包
packetsPerPoll = 50000

# ADVANCED - Moloch将尝试通过交换来补偿SYN数据包的丢失
# 首先捕获SYN-acK数据包时的源地址和目标地址。
# 由于SYN攻击正在运行的Moloch时,将其设置为false可能很有用。
antiSynDrop = true

# DEBUG - 对每隔X个数据包写入stdout信息。 Write to stdout unknown protocols
# 设置为-1表示永不记录状态
logEveryXPackets = 100000

# DEBUG - 写入标准输出未知协议
logUnknownProtocols = false

# DEBUG - 写入标准输出弹性搜索请求   Write to stdout elastic search requests
logESRequests = true

# DEBUG - 写入标准输出文件创建信息
logFileCreation = true


### 高性能设置 High Performance settings
# https://github.com/aol/moloch/wiki/Settings#High_Performance_Settings
# magicMode=basic
# pcapReadMethod=tpacketv3
# tpacketv3NumThreads=2
# pcapWriteMethod=simple
# pcapWriteSize = 2560000
# packetThreads=5
# maxPacketsInQueue = 200000

### 低带宽设置 Low Bandwidth settings
# packetThreads=1
# pcapWriteSize = 65536


##############################################################################
# 类的节点 Classes of nodes
# 可以覆盖大多数默认值,并创建一个标记调用节点:  Can override most default values, and create a tag call node:
[class1]
freeSpaceG = 10%

##############################################################################
# Nodes
# 通常只需在第一个点之前使用主机名作为节点名称
# 可以覆盖大多数默认值

[node1]
nodeClass = class1
# 可能使用不同的elasticsearch节点
elasticsearch=elasticsearchhost1

# 如果此节点应处理cron查询,则取消注释,只有一个节点应处理cron查询  
# Uncomment if this node should process the cron queries, only ONE node should process cron queries
# cronQueries = true

[node2]
nodeClass = class2
# 可能使用不同的elasticsearch节点
elasticsearch=elasticsearchhost2
# 使用不同的接口
interface = eth4

##############################################################################
# override-ips是一个特殊的部分,它覆盖了字段集的MaxMind数据库,
# 但是未设置的字段仍将使用MaxMind(例如,如果您设置标记但不是国家,它将使用MaxMind作为国家/地区)空格和大小写非常重要。
# IP可以是单个IP或CIDR
# 最多可以添加10个标签
#
# ip=tag:TAGNAME1;tag:TAGNAME2;country:3LetterUpperCaseCountry;asn:ASN STRING
#[override-ips]
#10.1.0.0/16=tag:ny-office;country:USA;asn:AS0000 This is an ASN

##############################################################################
# 现在可以在配置文件中定义额外的http / email头索引。
# 可以使用表达式http。和email来访问它们。
# 带有可选.cnt表达式的
#
# Possible config atributes for all headers
#   type: (string|integer|ip)  = data type                (default string)
#  count:                     = index count of items     (default false)
#  unique:                    = only record unique items (default true)

# headers-http-request用于配置索引的请求标头
#[headers-http-request]
#referer=type:string;count:true;unique:true

# headers-http-response 用于配置http响应头以进行索引
#[headers-http-response]
#location=type:string;count:true

# headers-email 用于配置要编制索引的电子邮件标头
#[headers-email]
#x-priority=type:integer


##############################################################################
# 如果您有多个群集,并且您希望能够手动或使用cron功能将会话从一个群集发送到另一个群集,请填写此部分

#[moloch-clusters]
#forensics=url:https://viewer1.host.domain:8005;passwordSecret:password4moloch;name:Forensics Cluster
#shortname2=url:http://viewer2.host.domain:8123;passwordSecret:password4moloch;name:Testing Cluster



# WARNING: 这是一个带有部分的ini文件,很可能你不想在这里设置。
#          新设置通常接近[default]部分的顶部或[nodename]部分。

布施恩德可便相知重

微信扫一扫打赏

支付宝扫一扫打赏

×
标签:

给我留言