arkime
v5.5.1
Arkime是一個大規模的開源網絡分析和數據包捕獲系統。
Arkime將您當前的安全基礎架構以標準PCAP格式存儲和索引網絡流量,從而提供快速,索引的訪問。為PCAP瀏覽,搜索和導出提供了直觀而簡單的Web界面。 Arkime公開了API,該API允許直接下載和消耗PCAP數據和JSON格式化會話數據。在分析工作流程期間,Arkime存儲和以標準PCAP格式導出所有數據包,使您還可以使用自己喜歡的PCAP攝入工具(例如Wireshark)。
Arkime是在許多系統中部署的,並且可以擴展以處理數十千兆/秒的流量。 PCAP保留基於可用的傳感器磁盤空間。元數據保留基於Elasticsearch群集量表。兩者都可以隨時增加,並且可以完全控制。
在arkime.com上了解更多信息
Arkime以前被稱為Moloch,是為了替換2012年AOL的商業完整數據包系統的創建。通過完全控制硬件和成本,我們發現我們可以在所有網絡中部署完整的數據包捕獲,其成本與使用商業工具的一個網絡相同,並具有更大的保留率。
Arkime系統由3個主要組成部分組成:
我們還提供了幾種可選的應用程序:
Arkime提供了一個用於探索網絡數據的用戶友好的Web界面。會議頁面提供了全面的概述,列出了可以擴展的單個會話以查看元數據和數據包詳細信息。
SPI查看頁面提供了數據的詳細分解,顯示了Arkime識別的每個字段的所有唯一值
大多數用戶應使用我們的下載頁面上可用的預製二進製文件,並按照簡單的安裝說明進行操作。
對於高級用戶,您可以自己構建Arkime:
node在您的路徑中,當前主要支持節點版本20.xgit clone https://github.com/arkime/arkime github上的最新版本./easybutton-build.sh --install - 下載所有先決條件,構建和安裝arkimemake config - 執行初始arkime配置大多數係統配置位於/opt/arkime/etc/config.ini文件中。這些變量記錄在我們的設置頁面上。
ARKIME運行後,將瀏覽器指向http:// localhost:8005以訪問Web界面。單擊貓頭鷹進入Arkime幫助頁面。
通過將HTTP與Digest密碼或使用提供Web服務器代理的身份驗證來保護Arkime。所有PCAP都存儲在傳感器上,僅使用Arkime接口或API訪問。 Arkime並不是要替換ID,而是與它們一起工作以存儲和索引所有網絡流量,以標準PCAP格式,提供快速訪問。
可以將Arkime配置為使用OpenSearch/Elasticsearch用戶驗證或API鍵。
Arkime機器應鎖定,但是他們需要互相交談(端口8005),與Elasticsearch Machines(端口9200-920X)進行交談,並且需要打開Web接口(端口8005)。
Arkime viewer應配置為使用TLS。
/opt/arkime/etc/config.ini.ini中編輯certfile和keyfile設置以啟用。對於大型部署,可以在不捕獲任何數據的中央機器上設置Arkime viewer ,而是機器網關所有UI請求。
存儲在Arkime配置文件中的共享密碼用於加密密碼哈希和ARKIME INTER-ARKIME通信。
您可以在我們的API頁面上了解有關Arkime API的更多信息。
請參考貢獻文件,以獲取有關如何參與的信息。我們歡迎Github中的問題,功能請求,拉請請求和文檔更新。有關使用和故障排除ARKIME的問題,請使用Slack頻道。
到達我們的最佳方法是懈怠。請請求邀請加入此處的Arkime Slack Workspace。
該項目是根據Apache 2.0開源許可證的條款許可的。請參閱《許可》以獲取完整條款。
