arkime
v5.5.1
Arkime是一个大规模的开源网络分析和数据包捕获系统。
Arkime将您当前的安全基础架构以标准PCAP格式存储和索引网络流量,从而提供快速,索引的访问。为PCAP浏览,搜索和导出提供了直观而简单的Web界面。 Arkime公开了API,该API允许直接下载和消耗PCAP数据和JSON格式化会话数据。在分析工作流程期间,Arkime存储和以标准PCAP格式导出所有数据包,使您还可以使用自己喜欢的PCAP摄入工具(例如Wireshark)。
Arkime是在许多系统中部署的,并且可以扩展以处理数十千兆/秒的流量。 PCAP保留基于可用的传感器磁盘空间。元数据保留基于Elasticsearch群集量表。两者都可以随时增加,并且可以完全控制。
在arkime.com上了解更多信息
Arkime以前被称为Moloch,是为了替换2012年AOL的商业完整数据包系统的创建。通过完全控制硬件和成本,我们发现我们可以在所有网络中部署完整的数据包捕获,其成本与使用商业工具的一个网络相同,并具有更大的保留率。
Arkime系统由3个主要组成部分组成:
我们还提供了几种可选的应用程序:
Arkime提供了一个用于探索网络数据的用户友好的Web界面。会议页面提供了全面的概述,列出了可以扩展的单个会话以查看元数据和数据包详细信息。
SPI查看页面提供了数据的详细分解,显示了Arkime识别的每个字段的所有唯一值
大多数用户应使用我们的下载页面上可用的预制二进制文件,并按照简单的安装说明进行操作。
对于高级用户,您可以自己构建Arkime:
node在您的路径中,当前主要支持节点版本20.xgit clone https://github.com/arkime/arkime github上的最新版本./easybutton-build.sh --install - 下载所有先决条件,构建和安装arkimemake config - 执行初始arkime配置大多数系统配置位于/opt/arkime/etc/config.ini文件中。这些变量记录在我们的设置页面上。
ARKIME运行后,将浏览器指向http:// localhost:8005以访问Web界面。单击猫头鹰进入Arkime帮助页面。
通过将HTTP与Digest密码或使用提供Web服务器代理的身份验证来保护Arkime。所有PCAP都存储在传感器上,仅使用Arkime接口或API访问。 Arkime并不是要替换ID,而是与它们一起工作以存储和索引所有网络流量,以标准PCAP格式,提供快速访问。
可以将Arkime配置为使用OpenSearch/Elasticsearch用户验证或API键。
Arkime机器应锁定,但是他们需要互相交谈(端口8005),与Elasticsearch Machines(端口9200-920X)进行交谈,并且需要打开Web接口(端口8005)。
Arkime viewer应配置为使用TLS。
/opt/arkime/etc/config.ini.ini中编辑certfile和keyfile设置以启用。对于大型部署,可以在不捕获任何数据的中央机器上设置Arkime viewer ,而是机器网关所有UI请求。
存储在Arkime配置文件中的共享密码用于加密密码哈希和ARKIME INTER-ARKIME通信。
您可以在我们的API页面上了解有关Arkime API的更多信息。
请参考贡献文件,以获取有关如何参与的信息。我们欢迎Github中的问题,功能请求,拉请请求和文档更新。有关使用和故障排除ARKIME的问题,请使用Slack频道。
到达我们的最佳方法是懈怠。请请求邀请加入此处的Arkime Slack Workspace。
该项目是根据Apache 2.0开源许可证的条款许可的。请参阅《许可》以获取完整条款。
