什么是Arkime

Arkime(以前叫Moloch)是一个大规模的开源索引数据包捕获和搜索系统。

Arkime增强了您当前的安全基础设施,以标准PCAP格式存储和索引网络流量,提供快速的索引访问。为PCAP浏览、搜索和导出提供了直观简单的web界面。Arkime公开了API,允许直接下载和使用PCAP数据和JSON格式的会话数据。Arkime以标准PCAP格式存储和导出所有数据包,允许您在分析工作流程中使用最喜欢的PCAP摄取工具,如wireshark。

Arkime可以跨多个系统部署,可以扩展到处理每秒数十GB的流量。PCAP保留基于可用的传感器磁盘空间。元数据保留基于Elasticsearch集群规模。两者都可以随时增加,并在您的完全控制下

安装环境:

CPU:8核
内存:64G(最少4G)
硬盘:2T
系统:Rocky8.6(亦可Centos8,Ubuntu等)
网卡:四口,一个管理口 一个抓包口
安装版本:Arkime 4.3.1

环境配置

1.配置系统时间网卡要设置混杂模式,安装bash-completion logrotate

执行如下命令

date 0524113023.25 #设置系统时间为2023年5月24日11:30:25。系统时间不对会导致抓不到数据包

ip link set ens32 promisc on (这边的网卡是ens32 ,根据实际情况写上相应网卡)

yum install -y bash-completion logrotate # logrotate 包会日志进行轮循归档,bash-completion会对命令行进行自动补全

2.提前下载好 arkime 和elasticsearch包

Arkime 下载地址:https://arkime.com/#download

Elasticsearch下载地址:https://www.elastic.co/downloads/past-releases#elasticsearch

3.大概步骤是:先安装elasticsearch,再安装arkime。

安装过程

  1. 安装配置elasticsearch

    到官网下载elasticsearch

在这里插入图片描述
在这里插入图片描述

  1. rpm -vih elasticsearch-8.7.1-x86_64.rpm
  2. systemctl start elasticsearch
  3. systemctl enable elasticsearch

2、安装配置arkime

到官网选择自己系统的rpm包https://arkime.com/#download

在这里插入图片描述

下载后使用rpm包管理命令安装

rpm -ivh arkime-4.3.1-1.x86_64.rpm
在这里插入图片描述

安装报错,缺少依赖。可以使用yum命令安装上面的依赖包

yum install -y perl-libwww-perl perl-JSON perl-LWP-Protocol-https rpm –ivh arkime-4.3.1-1.x86_64.rpm

配置

安装好后执行/opt/arkime/bin/Configure配置工具进行后续配置,geo数据库建议选no。

在这里插入图片描述

下载ipv4-address-space.csv 和oui.txt,并复制到/opt/arkime/etc/下赋权

ipv4-address-space.csv下载地址:https://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.csv

oui.txt下载地址:

https://raw.githubusercontent.com/wireshark/wireshark/master/manuf

  1. chmod a+r /opt/arkime/etc/oui.txt
  2. chmod a+r /opt/arkime/etc/ipv4-address-space.csv

初始化elasticsearch

  1. /opt/arkime/db/db.pl http://localhost:9200 init

创建用户

  1. /opt/arkime/bin/arkime_add_user.sh admin “Admin” THEPASSWORD --admin
  2. # THEPASSWORD为自定义密码

启动服务

  1. systemctl start arkimecapture.service
  2. systemctl start arkimeviewer.service
  3. systemctl enable arkimecapture.service
  4. systemctl enable arkimeviewer.service

访问

http://IP:8005
就可以访问啦,然后在弹出的框输入账号密码即可

在这里插入图片描述

高性能配置

修改arkime配置文件/opt/arkime/etc/config.ini 启用如下参数

magicMode=basic
pcapReadMethod=tpacketv3
tpacketv3NumThreads=2
pcapWriteMethod=simple
pcapWriteSize=2560000
packetThreads=5
maxPacketsInQueue=200000

注:修改配置文件后,要重启arkime服务
systemctl restart arkimecapture

# 开源 # elasticsearch # 网络 # 网络安全
Logo
AtomGit 开源协作平台测评赛

瓜分20万奖金 获得内推名额 丰厚实物奖励 易参与易上手

更多推荐

ADS1292R 使用 过程 心电图 高精度ADC模块

文章目录1 Fundamentals ofPrecision ADC Noise Analysis 精密模数转换器噪声分析基础1 Fundamentals ofPrecision ADC Noise Analysis 精密模数转换器噪声分析基础https://www.ti.com.cn/cn/lit/wp/slyy192/slyy192.pdf?ts=1600659610730&ref_u

avatar 开放原子开发者工作坊
cover

实现一个家庭安防与环境监测系统(一)

avatar 开放原子开发者工作坊

【cf】Codeforces Round #774 (Div. 2) 前4题

题目A. Square Counting 简单数学题目大意题解代码B. Quality vs Quantity 排序题目大意题解代码C. Factorials and Powers of Two 状态压缩dp+位运算题目大意题解代码D. Weight the Tree 树形dp+dfs题目大意题解代码E. Power Board 看起来像是数论?许多年没打cf了,偶尔打了一盘,恢复紫名了。A. S

avatar 开放原子开发者工作坊