Как мне смыть Молох?
Я установил Молох, и документация немного тонкая. Кто-нибудь знает, как можно очистить журналы базы данных и pcap, чтобы вернуть систему в только что установленное состояние?
Существует скрипт для истечения срока действия старых данных из БД, но я бы хотел избавиться от всего этого, и я не уверен, что этот скрипт удаляет файлы pcap.
1 ответ
Решение
Для восстановления базы данных Moloch (схема Elasticsearch и индексированные данные) вы можете использовать /moloch/db/db.pl сценарий, а затем удалить /moloch/raw содержимое для удаления данных PCAP.
Я опубликовал быстрое сообщение с этой информацией на тот случай, если кто-то посчитает ее полезной:
Молох: Стирание данных и восстановление базы данных - Алехандро Нолла - z0mbiehunt3r