Arkime(Moloch)安装与部署

image

概述

Arkime是一个开源,大规模,完整的数据包捕获,索引和数据库系统。 Arkime扩展了您当前的安全基础架构,以标准PCAP格式存储和索引网络流量,提供快速的索引访问。为PCAP浏览,搜索和导出提供了直观简单的Web界面。 Arkime公开了API,允许直接下载和使用PCAP数据和JSON格式的会话数据。 Arkime以标准PCAP格式存储和导出所有数据包,使您在分析工作流程中也可以使用您喜欢的PCAP摄取工具,例如: Wireshark。

安装

操作系统版本CentOS-7-x86_64-Minimal-2009,Arkime版本arkime-3.1.1-1.x86_64。

操作系统升级
yum update -y
1. 安装依赖与组件
yum install wget vim net-tools perl-libwww-perl perl-JSON libyaml-devel perl-LWP-Protocol-https java-11-openjdk-devel -y
2. 下载Arkime
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/arkime-3.1.1-1.x86_64.rpm
3. 安装Arkime
rpm -ivh arkime-3.1.1-1.x86_64.rpm

image

4. 可以选择查看说明文件或直接进行配置

image

4.1 进入配置过程
/opt/arkime/bin/Configure

image

4.2 安装Elasticsearch

image

4.3 下载GEO文件

image

4.4 安装结束

image

配置

接下来进入配置阶段,这一阶段比较简单,根据提示操作就行。

1. 启动elasticsearch
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
2. 初始化elasticsearch
/opt/arkime/db/db.pl http://127.0.0.1:9200 init
3. 升级elasticsearch
/opt/arkime/db/db.pl http://ESHOST:9200 upgrade
4. 管理员配置
/opt/arkime/bin/arkime_add_user.sh admin "Admin User" Adm@123456 --admin
5. 启动Arkime
systemctl start arkimecapture.service
systemctl start arkimeviewer.service

image

6. 登录Arkime

http://ip:8005(如果不能访问,建议关闭防火墙,或者放行端口)

image

posted @ 2024-10-21 16:44  抓单的灰太狼  阅读(66)  评论(0编辑  收藏  举报