Arkime(以前叫Moloch)是一个大规模的开源索引数据包捕获和搜索系统。
Arkime增强了您当前的安全基础设施,以标准PCAP格式存储和索引网络流量,提供快速的索引访问。为PCAP浏览、搜索和导出提供了直观简单的web界面。Arkime公开了API,允许直接下载和使用PCAP数据和JSON格式的会话数据。Arkime以标准PCAP格式存储和导出所有数据包,允许您在分析工作流程中使用最喜欢的PCAP摄取工具,如wireshark。
Arkime可以跨多个系统部署,可以扩展到处理每秒数十GB的流量。PCAP保留基于可用的传感器磁盘空间。元数据保留基于Elasticsearch集群规模。两者都可以随时增加,并在您的完全控制下。
准备工作
因业务需要对网内所有流量记录并备查,首先想到的就是ELK套装,检索期间发现了比较好用的套件Arkime,记录下整体安装和配置过程。
安装环境:
CPU:8核
内存:8G(最少4G)
硬盘:2T
系统:Centos7(亦可Centos8,Ubuntu等)
网卡:两口,一个管理口 一个抓包口
安装版本:Arkime 4.1.0
安装过程
安装rpm包
到官网选择自己系统的rpm包https://arkime.com/#download
这里选择的是centos7的https://s3.amazonaws.com/files.molo.ch/builds/centos-7/arkime-4.1.0-1.x86_64.rpm
直接wget下载
# yum install wget -y
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/arkime-4.1.0-1.x86_64.rpm
下载后使用rpm包管理命令安装
rpm -ivh arkime-4.1.0-1.x86_64.rpm
安装报错,缺少依赖。可以使用yum命令安装
yum install -y perl-libwww-perl perl-JSON libyaml-devel perl-LWP-Protocol-https
如图所示即为安装成功。
配置
安装好后通过/opt/arkime/bin/Configure配置工具进行后续配置,geo数据库建议选no,因为国内环境大概率是拉不下来的。
到附件库下载刚刚缺的数据库https://pan.g0d.cn/arkime复制到/opt/arkime/etc/下
赋权
chmod a+r /opt/arkime/etc/oui.txt
chmod a+r /opt/arkime/etc/ipv4-address-space.csv
初始化es
启动es服务
systemctl start elasticsearch
初始化es
/opt/arkime/db/db.pl http://localhost:9200 init
创建用户
/opt/arkime/bin/arkime_add_user.sh admin "Admin User" THEPASSWORD --admin
# THEPASSWORD为自定义密码
启动服务
systemctl start arkimecapture.service
systemctl start arkimeviewer.service
设置开机自启
systemctl enable elasticsearch
systemctl enable arkimecapture.service
systemctl enable arkimeviewer.service
访问
http://IP:8005
就可以访问啦,然后在弹出的框输入账号密码即可。
