什么是Arkime
Arkime(以前叫Moloch)是一个大规模的开源索引数据包捕获和搜索系统。
Arkime增强了您当前的安全基础设施,以标准PCAP格式存储和索引网络流量,提供快速的索引访问。为PCAP浏览、搜索和导出提供了直观简单的web界面。Arkime公开了API,允许直接下载和使用PCAP数据和JSON格式的会话数据。Arkime以标准PCAP格式存储和导出所有数据包,允许您在分析工作流程中使用最喜欢的PCAP摄取工具,如wireshark。
Arkime可以跨多个系统部署,可以扩展到处理每秒数十GB的流量。PCAP保留基于可用的传感器磁盘空间。元数据保留基于Elasticsearch集群规模。两者都可以随时增加,并在您的完全控制下
安装环境:
CPU:8核
内存:64G(最少4G)
硬盘:2T
系统:Rocky8.6(亦可Centos8,Ubuntu等)
网卡:四口,一个管理口 一个抓包口
安装版本:Arkime 4.3.1
环境配置
1.配置系统时间网卡要设置混杂模式,安装bash-completion logrotate
执行如下命令
date 0524113023.25 #设置系统时间为2023年5月24日11:30:25。系统时间不对会导致抓不到数据包
ip link set ens32 promisc on (这边的网卡是ens32 ,根据实际情况写上相应网卡)
yum install -y bash-completion logrotate # logrotate 包会日志进行轮循归档,bash-completion会对命令行进行自动补全
2.提前下载好 arkime 和elasticsearch包
Arkime 下载地址:https://arkime.com/#download
Elasticsearch下载地址:https://www.elastic.co/downloads/past-releases#elasticsearch
3.大概步骤是:先安装elasticsearch,再安装arkime。
安装过程
- 安装配置elasticsearch到官网下载elasticsearch
- rpm -vih elasticsearch-8.7.1-x86_64.rpm
- systemctl start elasticsearch
- systemctl enable elasticsearch
2、安装配置arkime
到官网选择自己系统的rpm包https://arkime.com/#download
下载后使用rpm包管理命令安装
rpm -ivh arkime-4.3.1-1.x86_64.rpm
安装报错,缺少依赖。可以使用yum命令安装上面的依赖包
yum install -y perl-libwww-perl perl-JSON perl-LWP-Protocol-https rpm –ivh arkime-4.3.1-1.x86_64.rpm
配置
安装好后执行/opt/arkime/bin/Configure配置工具进行后续配置,geo数据库建议选no。
下载ipv4-address-space.csv 和oui.txt,并复制到/opt/arkime/etc/下赋权
ipv4-address-space.csv下载地址:https://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.csv
oui.txt下载地址:
https://raw.githubusercontent.com/wireshark/wireshark/master/manuf
- chmod a+r /opt/arkime/etc/oui.txt
- chmod a+r /opt/arkime/etc/ipv4-address-space.csv
初始化elasticsearch
- /opt/arkime/db/db.pl http://localhost:9200 init
创建用户
- /opt/arkime/bin/arkime_add_user.sh admin “Admin” THEPASSWORD --admin
- # THEPASSWORD为自定义密码
启动服务
- systemctl start arkimecapture.service
- systemctl start arkimeviewer.service
- systemctl enable arkimecapture.service
- systemctl enable arkimeviewer.service
访问
http://IP:8005
就可以访问啦,然后在弹出的框输入账号密码即可
高性能配置
修改arkime配置文件/opt/arkime/etc/config.ini 启用如下参数
magicMode=basic
pcapReadMethod=tpacketv3
tpacketv3NumThreads=2
pcapWriteMethod=simple
pcapWriteSize=2560000
packetThreads=5
maxPacketsInQueue=200000
注:修改配置文件后,要重启arkime服务
systemctl restart arkimecapture
版权归原作者 清泉- 所有, 如有侵权,请联系我们删除。