Arkime, còn được gọi là Moloch, là một công cụ tìm kiếm và bắt gói tin được lập chỉ mục quy mô lớn và mã nguồn mở. Công cụ này lưu trữ và xuất tất cả các gói tin đã bắt ở định dạng PCAP. Bạn có thể sử dụng Wireshark hoặc các công cụ thu thập PCAP khác để phân tích tệp PCAP đã xuất. Arkime đi kèm với giao diện web đơn giản và thân thiện với người dùng mà bạn có thể sử dụng để duyệt, tìm kiếm và xuất PCAP. Công cụ này được thiết kế để triển khai trên nhiều hệ thống và cũng có thể xử lý lưu lượng truy cập lên tới hàng gigabit mỗi giây.
Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách cài đặt công cụ Arkime Packet Capture trên Ubuntu 20.04.
Sau khi tất cả các gói được cập nhật, hãy cài đặt các phụ thuộc cần thiết bằng lệnh sau:
Sau khi tất cả các gói được cài đặt, bạn có thể tiến hành bước tiếp theo.
Đầu tiên, thêm khóa GPG bằng lệnh sau:
Tiếp theo, thêm kho lưu trữ Elasticsearch vào APT bằng lệnh sau:
Tiếp theo, hãy cập nhật kho lưu trữ và cài đặt gói Elasticsearch bằng lệnh sau:
Sau khi Elasticsearch được cài đặt, hãy chỉnh sửa tệp cấu hình Elasticsearch và thiết lập bộ nhớ Java:
Thay đổi các dòng sau:
Lưu và đóng tệp, sau đó bật dịch vụ Elasticsearch để bắt đầu khi khởi động lại hệ thống bằng lệnh sau:
Theo mặc định, Elasticsearch lắng nghe trên cổng 9200. Bạn có thể kiểm tra bằng lệnh sau:
Bạn sẽ nhận được kết quả sau:
Bạn cũng có thể kiểm tra Elasticsearch bằng lệnh sau:
Bạn sẽ nhận được kết quả sau:
Lúc này, Elasticsearch đã được cài đặt và đang chạy. Bây giờ bạn có thể tiến hành bước tiếp theo.
Sau khi tải xuống gói, hãy cài đặt gói đã tải xuống bằng lệnh sau:
Sau khi cài đặt Arkime, hãy cấu hình bằng lệnh sau:
Bạn sẽ được yêu cầu chỉ định giao diện mạng như hiển thị bên dưới:
Nhập tên giao diện mạng của bạn và nhấn Enter để tiếp tục. Sau khi cấu hình hoàn tất, bạn sẽ nhận được kết quả sau:
Sau khi hoàn tất, bạn có thể tiến hành bước tiếp theo.
Tiếp theo, tạo tài khoản người dùng quản trị cho Arkime bằng lệnh sau:
Sau khi hoàn tất, bạn có thể tiến hành bước tiếp theo.
Bạn có thể khởi động dịch vụ molochcapture và molochviewer và cho phép chúng khởi động khi khởi động lại hệ thống bằng lệnh sau:
Bây giờ bạn có thể kiểm tra trạng thái của cả hai dịch vụ bằng lệnh sau:
Bạn sẽ nhận được đầu ra sau:
Bây giờ bạn có thể kiểm tra nhật ký của trình xem bằng lệnh sau:
Bạn sẽ thấy đầu ra sau:
Để kiểm tra nhật ký chụp, hãy chạy lệnh sau:
Bạn sẽ thấy đầu ra sau:
Bạn sẽ nhận được kết quả sau:
Bây giờ, hãy mở trình duyệt web của bạn và truy cập giao diện web Arkime bằng URL
. Bạn sẽ được yêu cầu cung cấp tên người dùng và mật khẩu quản trị viên như hiển thị bên dưới:
Cung cấp tên người dùng, mật khẩu quản trị viên và nhấp vào nút Đăng nhập. Bạn sẽ thấy bảng điều khiển Arkime ở trang sau:
Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách cài đặt công cụ Arkime Packet Capture trên Ubuntu 20.04.
Điều kiện tiên quyết
- Máy chủ chạy Ubuntu 20.04.
- Máy chủ được cấu hình mật khẩu gốc.
Bắt đầu
Trước khi bắt đầu, bạn sẽ cần cập nhật các gói hệ thống của mình lên phiên bản mới nhất. Bạn có thể cập nhật chúng bằng lệnh sau:
Mã:
apt-get update -y
Mã:
apt-get install gnupg2 curl wget -yCài đặt Elasticsearch
Arkime sử dụng Elasticsearch để lập chỉ mục và tìm kiếm. Vì vậy, Elasticsearch phải được cài đặt trong hệ thống của bạn. Theo mặc định, phiên bản mới nhất của Elasticsearch không có trong kho lưu trữ mặc định của Ubuntu. Vì vậy, bạn sẽ cần thêm kho lưu trữ Elasticsearch vào hệ thống của mình.Đầu tiên, thêm khóa GPG bằng lệnh sau:
Mã:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | apt-key add -
Mã:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list
Mã:
apt-get update -y
apt-get install elasticsearch -y
Mã:
nano /etc/elasticsearch/jvm.options
Mã:
-Xms1g-Xmx1g
Mã:
systemctl enable --now elasticsearch
Mã:
ss -antpl | grep 9200
Mã:
LISTEN 0 4096 [::ffff:127.0.0.1]:9200 *:* users:(("java",pid=9518,fd=272))LISTEN 0 4096 [::1]:9200 [::]:* users:(("java",pid=9518,fd=271))
Mã:
curl http://localhost:9200
Mã:
{ "name" : "ubuntu2004", "cluster_name" : "elasticsearch", "cluster_uuid" : "9g2B-tNaQl-rjuV32eCgpg", "version" : { "number" : "7.11.1", "build_flavor" : "default", "build_type" : "deb", "build_hash" : "ff17057114c2199c9c1bbecc727003a907c0db7a", "build_date" : "2021-02-15T13:44:09.394032Z", "build_snapshot" : false, "lucene_version" : "8.7.0", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "Bạn biết đấy, để tìm kiếm"}Cài đặt và cấu hình Arkime
Đầu tiên, hãy tải xuống phiên bản Arkime mới nhất bằng lệnh sau:
Mã:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/moloch_2.7.1-1_amd64.deb
Mã:
apt install ./moloch_2.7.1-1_amd64.deb
Mã:
/data/moloch/bin/Configure
Mã:
Các giao diện đã tìm thấy: lo;eth0;eth1Danh sách các giao diện được phân cách bằng dấu chấm phẩy ';' để theo dõi [eth1] eth0
Mã:
Cài đặt máy chủ Elasticsearch cục bộ để demo, phải có ít nhất 3G bộ nhớ, KHÔNG khuyến khích sử dụng cho mục đích sản xuất (có hoặc không) [không] khôngURL máy chủ Elasticsearch [http://localhost:9200]Mật khẩu để mã hóa S2S và các mục khác [không có mặc định]Mật khẩu để mã hóa S2S và các mục khác [không có mặc định] mypasswordMoloch - Tạo tệp cấu hìnhCài đặt tệp khởi động systemd, sử dụng systemctlMoloch - Cài đặt /etc/logrotate.d/moloch để xoay vòng tệp sau 7 ngàyMoloch - Cài đặt /etc/security/limits.d/99-moloch.conf để tạo core và memlock không giới hạnTải xuống tệp GEO? (có hoặc không) [có] có9) Truy cập http://MOLOCHHOST:8005 bằng trình duyệt yêu thích của bạn. người dùng: quản trị viên mật khẩu: MẬT KHẨU từ bước #6Nếu bạn muốn IP -> Geo/ASN để hoạt động, bạn cần thiết lập tài khoản maxmind và chương trình geoipupdate.Xem https://molo.ch/faq#maxmindBất kỳ thay đổi cấu hình nào cũng có thể được thực hiện đối với /data/moloch/etc/config.iniXem https://molo.ch/faq#moloch-is-not-working để biết các vấn đềCó thể tìm thấy thông tin bổ sung tại: * https://molo.ch/faq * https://molo.ch/settingsKhởi tạo cấu hình Elasticsearch Arkime
Tiếp theo, bạn sẽ cần khởi tạo cấu hình Elasticsearch Arkime. Bạn có thể thực hiện bằng lệnh sau:
Mã:
/data/moloch/db/db.pl http://localhost:9200 init
Mã:
/data/moloch/bin/moloch_add_user.sh admin "Moloch SuperAdmin" mypassword --adminKhởi động và quản lý dịch vụ Arkime
Arkime được tạo thành từ ba thành phần: capture, viewer và elasticsearch. Vì vậy, bạn sẽ cần khởi động dịch vụ cho từng thành phần.Bạn có thể khởi động dịch vụ molochcapture và molochviewer và cho phép chúng khởi động khi khởi động lại hệ thống bằng lệnh sau:
Mã:
systemctl enable --now molochcapture
systemctl enable --now molochviewer
Mã:
systemctl status molochcapture molochviewer
Mã:
? molochcapture.service - Moloch Capture Đã tải: đã tải (/etc/systemd/system/molochcapture.service; enabled; vendor preset: enabled) Đang hoạt động: đang hoạt động (đang chạy) kể từ Thứ Hai 2021-03-01 11:40:08 UTC; 10 giây trước PID chính: 11313 (sh) Nhiệm vụ: 7 (giới hạn: 4691) Bộ nhớ: 206,6M CGroup: /system.slice/molochcapture.service ??11313 /bin/sh -c /data/moloch/bin/moloch-capture -c /data/moloch/etc/config.ini >> /data/moloch/logs/capture.log 2>&1 ??11315 /data/moloch/bin/moloch-capture -c /data/moloch/etc/config.ini01-03 11:40:08 ubuntu2004 systemd[1]: Đang bắt đầu Moloch Capture...01-03 11:40:08 ubuntu2004 systemd[1]: Đã bắt đầu Moloch Capture.? molochviewer.service - Moloch Viewer Đã tải: đã tải (/etc/systemd/system/molochviewer.service; đã bật; cài đặt trước của nhà cung cấp: đã bật) Đang hoạt động: đang hoạt động (đang chạy) kể từ Thứ Hai 2021-03-01 11:40:13 UTC; 5 giây trước PID chính: 11361 (sh) Nhiệm vụ: 12 (giới hạn: 4691) Bộ nhớ: 51,9M CGroup: /system.slice/molochviewer.service ??11361 /bin/sh -c /data/moloch/bin/node viewer.js -c /data/moloch/etc/config.ini >> /data/moloch/logs/viewer.log 2>&1 ??11362 /data/moloch/bin/node viewer.js -c /data/moloch/etc/config.ini01-03 11:40:13 ubuntu2004 systemd[1]: Đã khởi động Moloch Viewer.
Mã:
tail -f /data/moloch/logs/viewer.log
Mã:
Máy chủ Express đang lắng nghe trên cổng 8005 ở chế độ phát triển
Mã:
tail -f /data/moloch/logs/capture.log
Mã:
01-03 11:40:49 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 KHÔNG ĐỒNG BỘ 201 http://localhost:9200/dstats/_doc/ubuntu2004-1209-5 806/154 0ms 51ms01/03 11:40:49 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 KHÔNG ĐỒNG BỘ 200 http://localhost:9200/_bulk 3737/327 0ms 51ms01/03 11:40:50 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 KHÔNG ĐỒNG BỘ 200 http://localhost:9200/_bulk 7246/451 0ms 51ms01/03 11:40:51 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 KHÔNG ĐỒNG BỘ 200 http://localhost:9200/stats/_doc/ubuntu2004?version_type=external&version=22 805/149 0ms 51ms01/03 11:40:53 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 KHÔNG ĐỒNG BỘ 200 http://localhost:9200/stats/_doc/ubuntu2004?version_type=external&version=23 805/149 0ms 52ms01/03 11:40:54 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 KHÔNG ĐỒNG BỘ 201 http://localhost:9200/dstats/_doc/ubuntu2004-1210-5 806/154 0ms 51ms1 tháng 3 11:40:54 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/_bulk 2830/302 0ms 51msTruy cập Giao diện Web Arkime
Lúc này, Arkime đã được khởi động và đang lắng nghe trên cổng 8005. Bạn có thể kiểm tra bằng lệnh sau:
Mã:
ss -antpl | grep 8005
Mã:
LISTEN 0 511 *:8005 *:* users:(("node",pid=11362,fd=20))Cung cấp tên người dùng, mật khẩu quản trị viên và nhấp vào nút Đăng nhập. Bạn sẽ thấy bảng điều khiển Arkime ở trang sau:
