Selamat datang di tutorial kami tentang cara menginstal alat Arkime (Moloch) Full Packet Capture di Ubuntu. Arkime, sebelumnya Moloch “adalah sistem pencarian dan penangkapan paket terindeks skala besar, open source ”.
Menggunakan sistem Debian? kemudian periksa panduan di bawah ini;
Instal alat Arkime (Moloch) Full Packet Capture di Debian 11
Menurut halaman repositori Github -nya, beberapa fitur alat Arkime meliputi;
- Ini menyimpan dan mengindeks lalu lintas jaringan dalam format PCAP standar, menyediakan akses yang cepat dan terindeks.
- Menyediakan interface web yang intuitif untuk penjelajahan, pencarian, dan ekspor PCAP.
- Mengekspos API yang memungkinkan data PCAP dan data sesi berformat JSON untuk didownload dan dikonsumsi secara langsung.
- Menyimpan dan mengekspor semua paket dalam format PCAP standar, memungkinkan Anda juga menggunakan alat menelan PCAP favorit Anda, seperti wireshark, selama alur kerja analisis Anda.
Instal alat Arkime (Moloch) Full Packet Capture di Ubuntu
Anda dapat menginstal alat Arkime (Moloch) Full Packet Capture di Ubuntu menggunakan paket biner bawaan atau cukup buat sendiri dari sumbernya.
Menginstal Arkime menggunakan Biner Prebuilt di Ubuntu
Download Arkime Binary Installer
Untuk menginstal Arkime menggunakan biner bawaan di Ubuntu, navigasikan ke halaman downloadan dan ambil penginstal biner untuk rasa Ubuntu Anda, yang dalam pengaturan saya adalah Ubuntu 20.04.
Anda juga dapat mengambil tautan ke penginstal biner dan menariknya menggunakan curlatauwgetmemerintah. Misalnya, perintah di bawah ini mengdownload versi rilis stabil penginstal biner Arkime saat ini untuk Ubuntu 20.04;
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/moloch_3.1.1-1_amd64.deb
Jalankan Pembaruan Sistem
Perbarui cache paket sistem Anda;
apt update
Instal alat Arkime (Moloch) Full Packet Capture di Ubuntu
Selanjutnya, instal alat Arkime (Moloch) Full Packet Capture di Ubuntu menggunakan penginstal biner yang didownload.
apt install./moloch_3.1.1-1_amd64.deb
Jika mau, Anda juga bisa membangun Arkime dengan membangunnya dari sumbernya. Periksa halaman instalasi untuk petunjuk.
Instal Elasticsearch di Ubuntu
Arkime menggunakan Elasticsearch sebagai engine pencari dan pengindeksan. Oleh karena itu, instal Elasticsearch dengan menjalankan perintah di bawah ini;
Impor Kunci penandatanganan repositori PGP stack Elastis
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | sudo apt-key add -
Instal repositori APT Elasticsearch;
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | gpg --dearmor > /etc/apt/trusted.gpg.d/elastic.gpg
Perbarui cache paket dan instal Elasticsearch;
apt update
apt install elasticsearch
Konfigurasikan opsi Elasticsearch JVM tergantung pada ukuran memori Anda;
vim /etc/elasticsearch/jvm.options
... ################################################################ # Xms represents the initial size of total heap space # Xmx represents the maximum size of total heap space -Xms512m -Xmx512m...
Simpan dan keluar dari file konfigurasi.
Konfigurasikan Arkime (Moloch) di Ubuntu
Mengonfigurasi Arkime
Setelah instalasi selesai, jalankan skrip di bawah ini untuk mengkonfigurasi Arkime (Moloch);
Jawab perintah skrip yang sesuai;
/opt/arkime/bin/Configure
Pilih interface untuk dipantau;
Found interfaces: lo;enp0s3;enp0s8 Semicolon ';' seperated list of interfaces to monitor [eth1] enp0s8
Pilih apakah akan menginstal Elasticsearch secara otomatis atau Anda ingin menginstal sendiri secara manual (We have already installed Elasticsearch, hence choose no).
Install Elasticsearch server locally for demo, must have at least 3G of memory, NOT recommended for production use (yes or no) [no] no
Setel URL server Elasticsearch, localhost:9200 dalam pengaturan ini. Cukup tekan Enter untuk menerima default.
Elasticsearch server URL [http://localhost:9200] ENTER
Tetapkan password enkripsi. Pastikan untuk mengganti password.
Password to encrypt S2S and other things [no-default] changeme
Konfigurasi Arkime kemudian berjalan.
... Moloch - Creating configuration files Installing systemd start files, use systemctl Moloch - Installing /etc/logrotate.d/moloch to rotate files after 7 days Moloch - Installing /etc/security/limits.d/99-moloch.conf to make core and memlock unlimited Download GEO files? (yes or no) [yes] yes Moloch - Downloading GEO files...
Menjalankan Elasticsearch
Mulai dan aktifkan Elasticsearch untuk berjalan pada boot sistem;
systemctl enable --now elasticsearch
Verifikasi apakah Elasticsearch sedang berjalan;
curl http://localhost:9200
{ "name" : "ubuntu20", "cluster_name" : "elasticsearch", "cluster_uuid" : "bc-twCeeSsSmgjYT6HlkXA", "version" : { "number" : "7.11.1", "build_flavor" : "default", "build_type" : "deb", "build_hash" : "ff17057114c2199c9c1bbecc727003a907c0db7a", "build_date" : "2021-02-15T13:44:09.394032Z", "build_snapshot" : false, "lucene_version" : "8.7.0", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "You Know, for Search" }
Inisialisasi konfigurasi Elasticsearch Moloch
Jalankan perintah di bawah ini untuk menginisialisasi konfigurasi Elasticsearch Arkime/Moloch.
/opt/arkime/db/db.pl http://localhost:9200 init
Buat Akun Pengguna Admin Arkime/Moloch
Anda dapat menggunakan /opt/arkime/bin/moloch_add_user.shskrip untuk membuat akun user Arkime/Moloch;
/opt/arkime/bin/moloch_add_user.sh --help
addUser.js [] [] Options: --admin Has admin privileges --apionly Can only use api, not web pages --email Can do email searches --expression Forced user expression --remove Can remove data (scrub, delete tags) --webauth Can auth using the web auth header or password --webauthonly Can auth using the web auth header only, password ignored --packetSearch Can create a packet search job (hunt) Config Options: -c Config file to use -n Node name section to use in config file --insecure Allow insecure HTTPS
Jalankan perintah di bawah ini untuk membuat akun user admin Arkime/Moloch. Ganti nama user dan password yang sesuai.
/opt/arkime/bin/arkime_add_user.sh admin "Moloch SuperAdmin" changeme --admin
Menjalankan Layanan Arkime
Arkime terdiri dari 3 komponen:
- capture – Aplikasi C berulir yang memantau lalu lintas jaringan, menulis file berformat PCAP ke disk, mem-parsing paket yang diambil, dan mengirimkan metadata (data SPI) ke elasticsearch.
- viewer – Aplikasi node.js yang berjalan per engine tangkap. Ini menangani interface web dan transfer file PCAP.
- elasticsearch – Teknologi database pencarian yang mendukung Arkime.
Kami sudah memulai Elasticsearch.
Sekarang mulai dan aktifkan Moloch Capture dan service penampil untuk berjalan pada boot sistem;
systemctl enable --now arkimecapture
systemctl enable --now arkimeviewer
Periksa statusnya;
systemctl status arkimecapture
● arkimecapture.service - Arkime Capture Loaded: loaded (/etc/systemd/system/arkimecapture.service; enabled; vendor preset: enabled) Active: active (running) since Fri 2021-11-12 21:02:08 EAT; 27s ago Main PID: 4125 (sh) Tasks: 2 (limit: 1133) Memory: 30.2M CPU: 389ms CGroup: /system.slice/arkimecapture.service ├─4125 /bin/sh -c /opt/arkime/bin/capture -c /opt/arkime/etc/config.ini >> /opt/arkime/logs/capture.log 2>&1 └─4126 /opt/arkime/bin/capture -c /opt/arkime/etc/config.ini Nov 12 21:02:07 debian11 systemd[1]: Starting Arkime Capture... Nov 12 21:02:08 debian11 systemd[1]: Started Arkime Capture.
systemctl status arkimeviewer
● arkimeviewer.service - Arkime Viewer Loaded: loaded (/etc/systemd/system/arkimeviewer.service; enabled; vendor preset: enabled) Active: active (running) since Fri 2021-11-12 21:02:33 EAT; 48s ago Main PID: 4147 (sh) Tasks: 8 (limit: 1133) Memory: 42.1M CPU: 2.457s CGroup: /system.slice/arkimeviewer.service ├─4147 /bin/sh -c /opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini >> /opt/arkime/logs/viewer.log 2>&1 └─4148 /opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini Nov 12 21:02:33 debian11 systemd[1]: Started Arkime Viewer.
Kadang-kadang, ketika Anda me-reboot sistem Anda, Elasticsearch mungkin memerlukan beberapa waktu sebelum dimulai. Dengan demikian, ini memengaruhi dimulainya service penangkapan dan penampil Arkime.
Kami telah membuat beberapa pembaruan untuk service Arkime capture dan viewer sehingga hanya dimulai setelah Elasticsearch dimulai. Harap perhatikan bahwa dengan perubahan ini, Anda mungkin melewatkan tangkapan lalu lintas saat Elasticsearch dimulai.
Tambahkan baris ini ke file Arkime capture and viewer service;
After=network.target elasticsearch.service Requires=network.target elasticsearch.service
Anda dapat menggunakan sed untuk memperbarui service ini;
sed -i 's/network.target/network.target elasticsearch.service/' /etc/systemd/system/arkimecapture.service /etc/systemd/system/arkimeviewer.service
sed -i '/After=/a Requires=network.target elasticsearch.service' /etc/systemd/system/arkimecapture.service /etc/systemd/system/arkimeviewer.service
systemctl daemon-reload
Ini akan memastikan bahwa penangkapan dan penampil Arkime akan dimulai hanya setelah Elasticsearch.
File Log
Anda dapat menemukan log Arkime/Moloch dan log Elasticsearch pada file log;
/opt/arkime/logs/viewer.log
/opt/arkime/logs/capture.log
/var/log/elasticsearch/*
Menyesuaikan konfigurasi Arkime/Moloch;
jika Anda ingin memperbarui konfigurasi Arkime/Moloch, periksa file konfigurasi /opt/arkime/etc/config.ini.
Mengakses Interface Web Arkime/Moloch
Moloch mendengarkan pada port 8005/tcp secara default.
Jika UFW sedang berjalan, buka port ini untuk mengizinkan akses eksternal.
ufw allow 8005/tcp
Anda kemudian dapat mengakses Arkime/Moloch menggunakan URL, http://MOLOCHHOST:8005dengan browser favorit Anda.
Ingin mengaktifkan HTTPS? Lihat panduan ini.
Anda akan diminta untuk memasukkan kredensial otentikasi user dasar yang Anda buat di atas.
Setelah otentikasi berhasil, Anda mendarat di interface Web Arkime.
Dan begitulah cara menginstal alat Arkime (Moloch) Full Packet Capture di Ubuntu.
Referensi
Instalasi Arkime README.txt
Demo Arkime (Kredensial: arkime:arkime)
Demo Arkime
Bacaan lebih lanjut
Halaman Pengaturan Arkime
FAQ Arkime