Ho installato Moloch e la documentazione è un po 'sottile. Qualcuno sa come posso svuotare sia il database che i registri pcap per riportare il sistema a uno stato appena installato?
Esiste uno script per la scadenza dei vecchi dati dal db, ma mi piacerebbe sbarazzarmene e non sono sicuro che lo script rimuova i file pcap.
Risposte:
Per ripristinare il database Moloch (schema Elasticsearch e dati indicizzati) è possibile utilizzare lo /moloch/db/db.plscript e successivamente rimuovere il /moloch/rawcontenuto per cancellare i dati PCAP.
Ho pubblicato un breve post con queste informazioni nel caso qualcuno lo trovasse utile:
Moloch: cancellazione dei dati e ripristino del database - Alejandro Nolla - z0mbiehunt3r