概述
Arkime是一个开源,大规模,完整的数据包捕获,索引和数据库系统。 Arkime扩展了您当前的安全基础架构,以标准PCAP格式存储和索引网络流量,提供快速的索引访问。为PCAP浏览,搜索和导出提供了直观简单的Web界面。 Arkime公开了API,允许直接下载和使用PCAP数据和JSON格式的会话数据。 Arkime以标准PCAP格式存储和导出所有数据包,使您在分析工作流程中也可以使用您喜欢的PCAP摄取工具,例如: Wireshark。
安装
操作系统版本CentOS-7-x86_64-Minimal-2009,Arkime版本arkime-3.1.1-1.x86_64。
- 操作系统升级
查看代码
[root@rockylinux ~]# yum update -y
- 安装依赖与组件
查看代码
[root@rockylinux ~]# yum install wget vim net-tools perl-libwww-perl perl-JSON libyaml-devel perl-LWP-Protocol-https java-11-openjdk-devel -y
- 下载Arkime
查看代码
[root@rockylinux ~]# wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/arkime-3.1.1-1.x86_64.rpm
- 安装Arkime
查看代码
[root@rockylinux ~]# rpm -ivh arkime-3.1.1-1.x86_64.rpm
- 可以选择查看说明文件或直接进行配置
- 进入配置过程
查看代码
[root@rockylinux ~]# /opt/arkime/bin/Configure
- 安装Elasticsearch
- 下载GEO文件
- 安装结束
配置
接下来进入配置阶段,这一阶段比较简单,根据提示操作就行。
- 启动elasticsearch
查看代码
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
- 初始化elasticsearch
查看代码
/opt/arkime/db/db.pl http://127.0.0.1:9200 init
- 升级elasticsearch
查看代码
/opt/arkime/db/db.pl http://ESHOST:9200 upgrade
- 管理员配置
查看代码
/opt/arkime/bin/arkime_add_user.sh admin "Admin User" Adm@123456 --admin
- 启动Arkime
systemctl start arkimecapture.service
查看代码
systemctl start arkimecapture.service
systemctl start arkimeviewer.service
- 登录Arkime
http://ip:8005(如果不能访问,建议关闭防火墙,或者放行端口)
