首页
/ Malcolm项目配置与调优指南

Malcolm项目配置与调优指南

2026-02-04 04:08:22作者:田桥桑Industrious
Malcolm
Malcolm is a powerful, easily deployable network traffic analysis tool suite for full packet capture artifacts (PCAP files), Zeek logs and Suricata alerts.
项目地址:https://gitcode.com/gh_mirrors/ma/Malcolm

项目概述

Malcolm是一个开源的网络流量分析平台,集成了Arkime、OpenSearch、Logstash等工具,用于网络流量捕获、存储和分析。本文将深入解析Malcolm的配置体系,帮助用户根据实际需求进行系统调优。

配置基础

Malcolm的运行时配置主要通过环境变量实现,这些变量存储在./config目录下以.env为后缀的文件中。系统提供了./scripts/configure交互式脚本帮助用户完成基础配置。

配置方式对比

配置方式 适用场景 优点 缺点
交互式脚本 初次部署 简单直观,避免手动修改错误 无法覆盖所有高级选项
手动编辑.env文件 高级调优 完全控制所有参数 需要了解参数含义
混合方式 常规使用 兼顾易用性和灵活性 需要一定经验

核心组件配置详解

Arkime配置

Arkime作为PCAP分析的核心组件,其配置主要集中在arkime.envarkime-secret.env文件中:

  1. 性能调优参数

    • ARKIME_AUTO_ANALYZE_PCAP_THREADS:PCAP分析线程数,建议根据CPU核心数设置
    • ARKIME_SPI_DATA_MAX_INDICES:查询索引数限制,防止OpenSearch过载

  2. 索引管理

    • INDEX_MANAGEMENT_ENABLED:启用索引生命周期管理
    • INDEX_MANAGEMENT_OPTIMIZATION_PERIOD:热数据保留周期
    • INDEX_MANAGEMENT_RETENTION_TIME:数据总保留时间

  3. GeoIP配置

    • MAXMIND_GEOIP_DB_LICENSE_KEY:MaxMind许可证密钥
    • MAXMIND_GEOIP_DB_ALTERNATE_DOWNLOAD_URL:备用下载地址

认证系统配置

认证配置主要在auth-common.envauth.env中:

  1. 认证模式选择

    • NGINX_AUTH_MODE支持多种认证方式:
      • basic:基础HTTP认证
      • ldap:LDAP集成
      • keycloak:Keycloak单点登录

  2. 访问控制

    • NGINX_REQUIRE_GROUP:组访问限制
    • NGINX_REQUIRE_ROLE:角色访问限制

OpenSearch仪表盘配置

dashboards.env中的关键参数:

  • DASHBOARDS_DARKMODE:暗黑模式开关
  • OPENSEARCH_INDEX_SIZE_PRUNE_LIMIT:索引大小限制,用于磁盘空间管理

高级调优指南

性能优化

  1. Logstash调优

    • LS_JAVA_OPTS:JVM堆内存设置
    • pipeline.workers:工作线程数
    • pipeline.batch.size:批处理大小

  2. 实时捕获优化

    • 调整arkime-live.env中的缓冲区设置
    • 根据网络流量调整捕获线程数

安全增强

  1. TLS配置

    • 确保BEATS_SSL启用
    • 配置FILEBEAT_SYSLOG_TCP_SSL保障syslog传输安全

  2. 敏感数据处理

    • lookup-common.env中配置敏感国家代码
    • 调整FREQ_SEVERITY_THRESHOLD优化异常域名检测

磁盘空间管理策略

Malcolm提供多种磁盘管理机制:

  1. PCAP文件管理

    • MANAGE_PCAP_FILES:自动删除开关
    • ARKIME_FREESPACEG:保留空间阈值

  2. 日志清理

    • LOG_CLEANUP_MINUTES:已处理日志保留时间
    • ZIP_CLEANUP_MINUTES:压缩文件保留时间

  3. 索引轮转

    • ARKIME_ROTATE_INDEX:索引轮转频率
    • OPENSEARCH_INDEX_SIZE_PRUNE_LIMIT:索引大小限制

最佳实践建议

  1. 生产环境部署

    • 建议使用Keycloak认证
    • 启用索引生命周期管理
    • 配置合理的保留策略

  2. 开发测试环境

    • 可禁用认证简化测试
    • 缩短数据保留时间节省空间
    • 降低日志级别方便调试

  3. 性能监控

    • 定期检查系统资源使用情况
    • 根据负载调整线程池大小
    • 监控磁盘空间使用趋势

常见问题排查

  1. 认证失败

    • 检查auth-common.env模式设置
    • 验证Keycloak服务状态

  2. 性能瓶颈

    • 检查JVM内存设置
    • 调整Logstash批处理参数
    • 优化OpenSearch索引策略

  3. 磁盘空间不足

    • 检查自动清理配置
    • 调整数据保留策略
    • 考虑增加存储容量

通过合理配置Malcolm的各项参数,用户可以构建一个高效、稳定且安全的网络流量分析平台,满足不同场景下的监控和分析需求。建议在生产部署前进行充分的测试和性能评估,找到最适合自身环境的配置方案。

Malcolm
Malcolm is a powerful, easily deployable network traffic analysis tool suite for full packet capture artifacts (PCAP files), Zeek logs and Suricata alerts.
项目地址:https://gitcode.com/gh_mirrors/ma/Malcolm
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
28
16
atomcodeatomcode
Claude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get Started
Rust
570
99
docsdocs
暂无描述
Dockerfile
709
4.51 K
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
958
955
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.61 K
942
pytorchpytorch
Ascend Extension for PyTorch
Python
572
694
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
413
339
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
1.42 K
116
flutter_flutterflutter_flutter
暂无简介
Dart
951
235
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
12
2