So installieren Sie das Arkime Full Packet Capture-Tool unter Ubuntu 20.04

Arkime, auch bekannt als Moloch, ist ein Open-Source-Tool zur Erfassung und Suche von Paketen mit großem Index. Es speichert und exportiert alle erfassten Pakete im PCAP-Format. Sie können Wireshark oder andere PCAP-Erfassungstools verwenden, um die exportierte PCAP-Datei zu analysieren. Arkime verfügt über eine einfache und benutzerfreundliche Weboberfläche, die Sie zum Durchsuchen, Suchen und Exportieren von PCAP verwenden können. Es ist für den Einsatz in mehreren Systemen konzipiert und kann Datenverkehr in Gigabit pro Sekunde verarbeiten.

In diesem Beitrag zeigen wir Ihnen, wie Sie das Tool Arkime Packet Capture unter Ubuntu 20.04 installieren.

Voraussetzungen

• Ein Server mit Ubuntu 20.04.
• Ein Root-Passwort wird auf dem Server konfiguriert.

Erste Schritte

Bevor Sie beginnen, müssen Sie Ihre Systempakete auf die neueste Version aktualisieren. Sie können sie mit dem folgenden Befehl aktualisieren:

apt-get update -y

Sobald alle Pakete aktualisiert sind, installieren Sie die erforderlichen Abhängigkeiten mit dem folgenden Befehl:

apt-get install gnupg2 curl wget -y

Sobald alle Pakete installiert sind, können Sie mit dem nächsten Schritt fortfahren.

Elasticsearch installieren

Arkime verwendet Elasticsearch für die Indizierung und Suche. Daher muss Elasticsearch in Ihrem System installiert sein. Standardmäßig ist die neueste Version von Elasticsearch nicht im Standard-Repository von Ubuntu enthalten. Sie müssen also das Elasticsearch-Repository zu Ihrem System hinzufügen.

Fügen Sie zuerst den GPG-Schlüssel mit dem folgenden Befehl hinzu:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | apt-key add -

Fügen Sie als Nächstes das Elasticsearch-Repository mit dem folgenden Befehl zum APT hinzu:

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list

Aktualisieren Sie als Nächstes das Repository und installieren Sie das Elasticsearch-Paket mit dem folgenden Befehl:

apt-get update -y
apt-get install elasticsearch -y

Sobald Elasticsearch installiert ist, bearbeiten Sie die Elasticsearch-Konfigurationsdatei und legen Sie den Java-Speicher fest:

nano /etc/elasticsearch/jvm.options

Ändern Sie die folgenden Zeilen:

-Xms1g-Xmx1g

Speichern und schließen Sie die Datei und ermöglichen Sie dann dem Elasticsearch-Dienst, beim Systemneustart mit dem folgenden Befehl zu starten:

systemctl enable --now elasticsearch

Standardmäßig lauscht Elasticsearch auf Port 9200. Sie können dies mit dem folgenden Befehl überprüfen:

ss -antpl | grep 9200

Sie sollten die folgende Ausgabe erhalten:

LISTEN 0 4096 [::ffff:127.0.0.1]:9200 *:* Benutzer:(("java",pid=9518,fd=272)) LISTEN 0 4096 [::1]:9200 [::]:* Benutzer:(("java",pid=9518,fd=271)) 

Sie können die Elasticsearch auch mit dem folgenden Befehl überprüfen:

curl http://localhost:9200

Sie sollten die folgende Ausgabe erhalten:

{ „name“ :„ubuntu2004“, „cluster_name“ :„elasticsearch“, „cluster_uuid“ :„9g2B-tNaQl-rjuV32eCgpg“, „version“ :{ „number“ :„7.11.1“, „build_flavor“ :„default“, „build_type“ :„deb“, „build_hash“ :„ff17057114c2199c9c1bbecc727003a907c0db7a“, „build_date“ :„2021-02-15T13:44:09.394032Z“, „build_snapshot“ :false, „lucene_version“ :„8.7 .0", "Minimum_wire_compatibility_version" :"6.8.0", "Minimum_index_compatibility_version" :"6.0.0-beta1" }, "tagline" :"You Know, for Search"}

Zu diesem Zeitpunkt ist Elasticsearch installiert und wird ausgeführt. Sie können jetzt mit dem nächsten Schritt fortfahren.

Installieren und konfigurieren Sie Arkime

Laden Sie zunächst die neueste Version von Arkime mit dem folgenden Befehl herunter:

wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/moloch_2.7.1-1_amd64.deb

Nachdem das Paket heruntergeladen wurde, installieren Sie das heruntergeladene Paket mit dem folgenden Befehl:

apt install ./moloch_2.7.1-1_amd64.deb

Sobald Arkime installiert ist, konfigurieren Sie es mit dem folgenden Befehl:

/data/moloch/bin/Configure

Sie werden aufgefordert, die Netzwerkschnittstelle wie unten gezeigt anzugeben:

Gefundene Schnittstellen:lo;eth0;eth1Semikolon ';' getrennte Liste von zu überwachenden Schnittstellen [eth1] eth0

Geben Sie den Namen Ihrer Netzwerkschnittstelle ein und drücken Sie die Eingabetaste, um fortzufahren. Sobald die Konfiguration abgeschlossen ist, sollten Sie die folgende Ausgabe erhalten:

Elasticsearch-Server lokal für Demo installieren, muss mindestens 3 GB Arbeitsspeicher haben, NICHT für Produktionsnutzung empfohlen (ja oder nein) [nein] neinElasticsearch-Server-URL [http://localhost:9200] Passwort zum Verschlüsseln von S2S und anderen Dingen [no-default] Passwort zum Verschlüsseln von S2S und anderen Dingen [no-default] mypasswordMoloch - Erstellen von KonfigurationsdateienSystemd-Startdateien installieren, systemctl verwendenMoloch - Installiere /etc/logrotate.d/moloch, um Dateien nach 7 Tagen zu rotierenMoloch - Installiere /etc/security /limits.d/99-moloch.conf, um Core und Memlock unbegrenzt zu machen GEO-Dateien herunterladen? (ja oder nein) [ja] ja9) Besuchen Sie http://MOLOCHHOST:8005 mit Ihrem bevorzugten Browser. user:admin password:THEPASSWORD from step #6Wenn Sie möchten, dass IP -> Geo/ASN funktioniert, müssen Sie ein maxmind-Konto und das geoipupdate-Programm einrichten. Siehe https://molo.ch/faq#maxmindAlle Konfigurationsänderungen können vorgenommen werden zu /data/moloch/etc/config.iniBei Problemen siehe https://molo.ch/faq#moloch-is-not-workingWeitere Informationen finden Sie unter:* https://molo.ch/faq * https:/ /molo.ch/settings

Wenn Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Initialisieren Sie die Konfiguration von Elasticsearch Arkime

Als Nächstes müssen Sie die Konfiguration von Elasticsearch Arkime initialisieren. Sie können dies mit dem folgenden Befehl tun:

/data/moloch/db/db.pl http://localhost:9200 init

Als nächstes erstellen Sie mit dem folgenden Befehl ein Admin-Benutzerkonto für Arkime:

/data/moloch/bin/moloch_add_user.sh admin "Moloch SuperAdmin" mypassword --admin

Wenn Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Starten und verwalten Sie Arkime-Dienste

Arkime besteht aus drei Komponenten:Capture, Viewer und Elasticsearch. Sie müssen also den Dienst für jede Komponente starten.

Mit dem folgenden Befehl können Sie den Dienst molochcapture und molochviewer starten und ermöglichen, dass sie beim Systemneustart starten:

systemctl enable --now molochcapture
systemctl enable --now molochviewer

Sie können jetzt den Status beider Dienste mit dem folgenden Befehl überprüfen:

systemctl status molochcapture molochviewer

Sie sollten die folgende Ausgabe erhalten:

tail -f /data/moloch/logs/viewer.log

Express-Server überwacht Port 8005 im Entwicklungsmodus

tail -f /data/moloch/logs/capture.log

1. März 11:40:49 http.c:382 moloch_http_curlm_check_multi_info():1/30 ASYNC 201 http://localhost:9200/dstats/_doc/ubuntu2004-1209-5 806/154 0ms 51ms 1. März 11:40 :49 http.c:382 moloch_http_curlm_check_multi_info():1/30 ASYNC 200 http://localhost:9200/_bulk 3737/327 0ms 51msMar 1 11:40:50 http.c:382 moloch_http_curlm_check_multi_info():1/30 ASYNC 200 http://localhost:9200/_bulk 7246/451 0ms 51msMar 1 11:40:51 http.c:382 moloch_http_curlm_check_multi_info():1/30 ASYNC 200 http://localhost:9200/stats/_doc/ubuntu2004?version_type=external&version=22 805/149 0ms 51ms 1. März 11:40:53 http.c:382 moloch_http_curlm_check_multi_info():1/30 ASYNC 200 http://localhost:9200/stats/_doc/ubuntu2004?version_type=external&version=23 805/149 0ms 52ms 1. März 11:40:54 http.c:382 moloch_http_curlm_check_multi_info():1/30 ASYNC 201 http://localhost:9200/dstats/_doc/ubuntu2004-1210-5 806/154 0ms 51ms 1. März 11:40:54 http.c:382 moloch_http_curlm_check_multi_info():1/30 ASYNC 200 http://localhost:9200/_ Bulk 2830/302 0ms 51ms

ss -antpl | grep 8005

LISTEN 0 511 *:8005 *:* Benutzer:(("node",pid=11362,fd=20))