Cách cài đặt Arkime Moloch Packet Capture Tool trên Ubuntu 22.04

[theanh]

Arkime là một công cụ tìm kiếm và bắt gói tin được lập chỉ mục miễn phí, mã nguồn mở, quy mô lớn, lưu trữ và lập chỉ mục lưu lượng mạng theo định dạng PCAP. Công cụ này còn được gọi là Moloch, được thiết kế để triển khai trên nhiều hệ thống cụm, cung cấp khả năng mở rộng để xử lý nhiều gigabit lưu lượng mỗi giây. Arkime có giao diện quản trị tích hợp giúp bạn duyệt, tìm kiếm và xuất PCAP. Bạn có thể sử dụng các công cụ thu thập PCAP khác để phân tích quy trình làm việc của mình.

Hướng dẫn này sẽ chỉ cho bạn cách cài đặt công cụ Arkime Packet Capture trên Ubuntu 22.04.

Điều kiện tiên quyết​

• Máy chủ chạy Ubuntu 22.04.
• Mật khẩu gốc được cấu hình trên máy chủ.

Bắt đầu​

Trước khi bắt đầu, bạn sẽ cần cập nhật các gói hệ thống của mình lên phiên bản mới nhất. Bạn có thể cập nhật chúng bằng lệnh sau:

apt-get update -y

Sau khi tất cả các gói được cập nhật, hãy cài đặt các phụ thuộc bắt buộc bằng cách sử dụng lệnh sau lệnh:

apt-get install gnupg2 curl wget -y

Tiếp theo, bạn cũng sẽ cần cài đặt thư viện Libssl và Libffi vào hệ thống của mình. Bạn có thể tải xuống và cài đặt cả hai bằng cách chạy lệnh sau:

wget http://es.archive.ubuntu.com/ubuntu/pool/main/libf/libffi/libffi7_3.3-4_amd64.deb
wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2_amd64.deb
dpkg -i libffi7_3.3-4_amd64.deb
dpkg -i libssl1.1_1.1.1f-1ubuntu2_amd64.deb
ln -s /usr/lib/x86_64-linux-gnu/libssl.so.1.1 /usr/local/lib/
ln -s /usr/lib/x86_64-linux-gnu/libffi.so.7 /usr/local/lib/

Sau khi tất cả các gói được cài đặt, bạn có thể tiến hành bước tiếp theo.

Cài đặt Elasticsearch​

Arkime sử dụng Elasticsearch để lập chỉ mục và tìm kiếm. Vì vậy, Elasticsearch phải được cài đặt trong hệ thống của bạn. Theo mặc định, phiên bản mới nhất của Elasticsearch không được bao gồm trong kho lưu trữ mặc định của Ubuntu. Vì vậy, bạn sẽ cần thêm kho lưu trữ Elasticsearch vào hệ thống của mình.

Đầu tiên, thêm khóa GPG bằng lệnh sau:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | apt-key add -

Tiếp theo, thêm kho lưu trữ Elasticsearch vào APT bằng lệnh sau:

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list

Tiếp theo, cập nhật kho lưu trữ và cài đặt gói Elasticsearch bằng lệnh sau lệnh:

apt-get update -y
apt-get install elasticsearch -y

Sau khi Elasticsearch được cài đặt, hãy chỉnh sửa tệp cấu hình Elasticsearch và đặt bộ nhớ Java:

nano /etc/elasticsearch/jvm.options

Thay đổi các mục sau dòng:

-Xms500m
-Xmx500m

Lưu và đóng tệp, sau đó bật dịch vụ Elasticsearch để bắt đầu khi khởi động lại hệ thống bằng lệnh sau:

systemctl enable --now elasticsearch

Theo mặc định, Elasticsearch lắng nghe trên cổng 9200. Bạn có thể kiểm tra bằng lệnh sau lệnh:

ss -antpl | grep 9200

Bạn sẽ nhận được kết quả sau:

LISTEN 0 4096 [::ffff:127.0.0.1]:9200 *:* users:(("java",pid=30581,fd=291))
LISTEN 0 4096 [::1]:9200 [::]:* users:(("java",pid=30581,fd=290))

Bạn cũng có thể kiểm tra Elasticsearch bằng lệnh sau lệnh:

curl http://localhost:9200

Bạn sẽ nhận được kết quả đầu ra sau:

{ "name" : "ubuntu2204", "cluster_name" : "elasticsearch", "cluster_uuid" : "6QiUfVa4Q9G8lxHjuVLjUQ", "version" : { "number" : "7.17.5", "build_flavor" : "default", "build_type" : "deb", "build_hash" : "8d61b4f7ddf931f219e3745f295ed2bbc50c8e84", "build_date" : "2022-06-23T21:57:28.736740635Z", "build_snapshot" : false, "lucene_version" : "8.11.1", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "You Know, for Search"
}

Lúc này, Elasticsearch đã được cài đặt và đang chạy. Bây giờ bạn có thể tiến hành bước tiếp theo.

Cài đặt và cấu hình Arkime​

Đầu tiên, tải xuống phiên bản Arkime mới nhất bằng lệnh sau:

wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/arkime_3.4.2-1_amd64.deb

Sau khi tải xuống gói, hãy cài đặt gói đã tải xuống bằng lệnh sau lệnh:

apt install ./arkime_3.4.2-1_amd64.deb

Sau khi Arkime được cài đặt, hãy chạy lệnh sau để cấu hình nó:

/opt/arkime/bin/Configure

Bạn sẽ được yêu cầu chỉ định giao diện mạng như hiển thị bên dưới:

Found interfaces: lo;eth0;eth1
Semicolon ';' seperated list of interfaces to monitor [eth1] eth0

Nhập tên giao diện mạng của bạn và nhấn Enter để tiếp tục. Sau khi cấu hình xong, bạn sẽ nhận được kết quả sau:

Install Elasticsearch server locally for demo, must have at least 3G of memory, NOT recommended for production use (yes or no) [no] no
Elasticsearch server URL [http://localhost:9200]
Password to encrypt S2S and other things, don't use spaces [no-default] password
Arkime - Creating configuration files
Installing systemd start files, use systemctl
Arkime - Installing /etc/logrotate.d/arkime to rotate files after 7 days
Arkime - Installing /etc/security/limits.d/99-arkime.conf to make core and memlock unlimited
Download GEO files? You'll need a MaxMind account https://arkime.com/faq#maxmind (yes or no) [yes] no
Arkime - NOT downloading GEO files
Arkime - Configured - Now continue with step 4 in /opt/arkime/README.txt 4) The Configure script can install elasticsearch for you or you can install yourself systemctl start elasticsearch.service 5) Initialize/Upgrade Elasticsearch Arkime configuration a) If this is the first install, or want to delete all data /opt/arkime/db/db.pl http://ESHOST:9200 init b) If this is an update to a moloch/arkime package /opt/arkime/db/db.pl http://ESHOST:9200 upgrade 6) Add an admin user if a new install or after an init /opt/arkime/bin/arkime_add_user.sh admin "Admin User" THEPASSWORD --admin 7) Start everything systemctl start arkimecapture.service systemctl start arkimeviewer.service 8) Look at log files for errors /opt/arkime/logs/viewer.log /opt/arkime/logs/capture.log 9) Visit http://arkimeHOST:8005 with your favorite browser. user: admin password: THEPASSWORD from step #6
If you want IP -> Geo/ASN to work, you need to setup a maxmind account and the geoipupdate program.
See https://arkime.com/faq#maxmind
Any configuration changes can be made to /opt/arkime/etc/config.ini
See https://arkime.com/faq#moloch-is-not-working for issues
Additional information can be found at: * https://arkime.com/faq * https://arkime.com/settings

Sau khi hoàn tất, bạn có thể tiến hành bước tiếp theo.

Khởi tạo cấu hình Elasticsearch Arkime​

Tiếp theo, bạn sẽ cần khởi tạo cấu hình Elasticsearch Arkime. Bạn có thể thực hiện bằng lệnh sau:

/opt/arkime/db/db.pl http://localhost:9200 init

Tiếp theo, tạo tài khoản người dùng quản trị cho Arkime bằng lệnh sau:

/opt/arkime/bin/arkime_add_user.sh admin "Moloch SuperAdmin" password --admin

Tiếp theo, cập nhật cơ sở dữ liệu Geo bằng lệnh sau lệnh:

/opt/arkime/bin/arkime_update_geo.sh

Sau khi hoàn tất, bạn có thể tiến hành bước tiếp theo.

Khởi động và quản lý dịch vụ Arkime​

Arkime được tạo thành từ ba thành phần: capture, viewer và elasticsearch. Vì vậy, bạn sẽ cần khởi động dịch vụ cho từng thành phần.

Bạn có thể khởi động dịch vụ Arkimecapture và Arkimeviewer và cho phép chúng khởi động khi khởi động lại hệ thống bằng lệnh sau:

systemctl enable --now arkimecapture
systemctl enable --now arkimeviewer

Bây giờ bạn có thể kiểm tra trạng thái của cả hai dịch vụ bằng lệnh sau:

systemctl status arkimecapture arkimeviewer

Bạn sẽ nhận được thông báo sau đầu ra:

? arkimecapture.service - Arkime Capture Loaded: loaded (/etc/systemd/system/arkimecapture.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2022-08-15 03:55:10 UTC; 1min 0s ago Process: 33704 ExecStartPre=/opt/arkime/bin/arkime_config_interfaces.sh -c /opt/arkime/etc/config.ini -n default (code=exited, status=0/S> Main PID: 33724 (sh) Tasks: 7 (limit: 2242) Memory: 213.2M CPU: 806ms CGroup: /system.slice/arkimecapture.service ??33724 /bin/sh -c "/opt/arkime/bin/capture -c /opt/arkime/etc/config.ini >> /opt/arkime/logs/capture.log 2>&1" ??33725 /opt/arkime/bin/capture -c /opt/arkime/etc/config.ini
Aug 15 03:55:09 ubuntu2204 systemd[1]: Starting Arkime Capture...
Aug 15 03:55:10 ubuntu2204 systemd[1]: Started Arkime Capture.
? arkimeviewer.service - Arkime Viewer Loaded: loaded (/etc/systemd/system/arkimeviewer.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2022-08-15 03:08:39 UTC; 47min ago Main PID: 31759 (sh) Tasks: 12 (limit: 2242) Memory: 56.7M CPU: 2.127s CGroup: /system.slice/arkimeviewer.service ??31759 /bin/sh -c "/opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini >> /opt/arkime/logs/viewer.log 2>&1" ??31760 /opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini
Aug 15 03:08:39 ubuntu2204 systemd[1]: Started Arkime Viewer.

Bạn có thể kiểm tra nhật ký trình xem bằng lệnh sau:

tail -f /opt/arkime/logs/viewer.log

Bây giờ bạn có thể kiểm tra nhật ký chụp bằng lệnh sau:

tail -f /opt/arkime/logs/capture.log

Bạn sẽ thấy thông báo sau đầu ra:

Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 2/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1408-5 804/159 0ms 20ms
Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=66 798/157 0ms 24ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 715/221 0ms 10ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=67 805/158 0ms 12ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 1471/253 0ms 24ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=68 806/157 0ms 18ms
Aug 15 03:57:25 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1409-5 808/159 0ms 10ms

Truy cập Giao diện web Arkime​

Lúc này, Arkime đã được khởi động và đang lắng nghe trên cổng 8005. Bạn có thể kiểm tra bằng lệnh sau:

ss -antpl | grep 8005

Bạn sẽ nhận được thông báo sau đầu ra:

LISTEN 0 511 *:8005 *:* users:(("node",pid=11362,fd=20))

Bây giờ, hãy mở trình duyệt web của bạn và truy cập giao diện web Arkime bằng URL

http://your-server-ip:8005

Bạn sẽ được yêu cầu cung cấp tên người dùng và mật khẩu quản trị viên như hiển thị bên dưới:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22318%22%20height=%22265%22%3E%3C/svg%3E


Cung cấp tên người dùng quản trị viên của bạn tên người dùng, mật khẩu và nhấp vào nút Đăng nhập. Bạn sẽ thấy bảng điều khiển Arkime ở trang sau:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22372%22%3E%3C/svg%3E

Kết luận​

Xin chúc mừng! Bạn đã cài đặt và cấu hình thành công công cụ bắt gói Arkime trên máy chủ Ubuntu 22.04. Bây giờ bạn có thể khám phá Arkime để biết thêm chức năng và bắt đầu bắt gói. Hãy thoải mái hỏi tôi nếu bạn có bất kỳ câu hỏi nào.