Installation · 7 min read · Oct 10, 2025
So installieren Sie das Arkime Moloch Packet Capture Tool auf Ubuntu 22.04
Arkime ist ein kostenloses, Open-Source-Tool zur Erfassung und Suche von Paketen in großem Maßstab, das Netzwerkverkehr im PCAP-Format speichert und indiziert. Es ist auch als Moloch bekannt und wurde entwickelt, um über mehrere Cluster-Systeme bereitgestellt zu werden, wodurch die Möglichkeit besteht, mehrere Gigabit pro Sekunde an Verkehr zu bewältigen. Arkime verfügt über eine integrierte Admin-Oberfläche, die Ihnen hilft, PCAP zu durchsuchen, zu suchen und zu exportieren. Sie können auch andere PCAP-ingestierende Tools verwenden, um Ihren Workflow zu analysieren.
Dieses Tutorial zeigt Ihnen, wie Sie das Arkime Packet Capture Tool auf Ubuntu 22.04 installieren.
Voraussetzungen
- Ein Server, der Ubuntu 22.04 ausführt.
- Ein Root-Passwort ist auf dem Server konfiguriert.
Erste Schritte
Bevor Sie beginnen, müssen Sie Ihre Systempakete auf die neueste Version aktualisieren. Sie können sie mit dem folgenden Befehl aktualisieren:
apt-get update -ySobald alle Pakete aktualisiert sind, installieren Sie die erforderlichen Abhängigkeiten mit dem folgenden Befehl:
apt-get install gnupg2 curl wget -yAls Nächstes müssen Sie auch die Libssl- und Libffi-Bibliotheken auf Ihrem System installieren. Sie können beide herunterladen und installieren, indem Sie den folgenden Befehl ausführen:
wget http://es.archive.ubuntu.com/ubuntu/pool/main/libf/libffi/libffi7_3.3-4_amd64.deb
wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2_amd64.deb
dpkg -i libffi7_3.3-4_amd64.deb
dpkg -i libssl1.1_1.1.1f-1ubuntu2_amd64.deb
ln -s /usr/lib/x86_64-linux-gnu/libssl.so.1.1 /usr/local/lib/
ln -s /usr/lib/x86_64-linux-gnu/libffi.so.7 /usr/local/lib/Sobald alle Pakete installiert sind, können Sie mit dem nächsten Schritt fortfahren.
Elasticsearch installieren
Arkime verwendet Elasticsearch zum Indizieren und Suchen. Daher muss Elasticsearch auf Ihrem System installiert sein. Standardmäßig ist die neueste Version von Elasticsearch nicht im Standard-Repository von Ubuntu enthalten. Daher müssen Sie das Elasticsearch-Repository zu Ihrem System hinzufügen.
Zuerst fügen Sie den GPG-Schlüssel mit dem folgenden Befehl hinzu:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | apt-key add -Fügen Sie als Nächstes das Elasticsearch-Repository mit dem folgenden Befehl zu APT hinzu:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.listAktualisieren Sie als Nächstes das Repository und installieren Sie das Elasticsearch-Paket mit dem folgenden Befehl:
apt-get update -y
apt-get install elasticsearch -ySobald Elasticsearch installiert ist, bearbeiten Sie die Konfigurationsdatei von Elasticsearch und setzen Sie den Java-Speicher:
nano /etc/elasticsearch/jvm.optionsÄndern Sie die folgenden Zeilen:
-Xms500m
-Xmx500mSpeichern Sie die Datei und schließen Sie sie, und aktivieren Sie dann den Elasticsearch-Dienst, damit er beim Systemneustart gestartet wird, mit dem folgenden Befehl:
systemctl enable --now elasticsearchStandardmäßig hört Elasticsearch auf Port 9200. Sie können dies mit dem folgenden Befehl überprüfen:
ss -antpl | grep 9200Sie sollten die folgende Ausgabe erhalten:
LISTEN 0 4096 [::ffff:127.0.0.1]:9200 *:* users:(("java",pid=30581,fd=291))
LISTEN 0 4096 [::1]:9200 [::]:* users:(("java",pid=30581,fd=290)) Sie können Elasticsearch auch mit dem folgenden Befehl überprüfen:
curl http://localhost:9200Sie sollten die folgende Ausgabe erhalten:
{
"name" : "ubuntu2204",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "6QiUfVa4Q9G8lxHjuVLjUQ",
"version" : {
"number" : "7.17.5",
"build_flavor" : "default",
"build_type" : "deb",
"build_hash" : "8d61b4f7ddf931f219e3745f295ed2bbc50c8e84",
"build_date" : "2022-06-23T21:57:28.736740635Z",
"build_snapshot" : false,
"lucene_version" : "8.11.1",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}An diesem Punkt ist Elasticsearch installiert und läuft. Sie können nun mit dem nächsten Schritt fortfahren.
Arkime installieren und konfigurieren
Laden Sie zuerst die neueste Version von Arkime mit dem folgenden Befehl herunter:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/arkime_3.4.2-1_amd64.debSobald das Paket heruntergeladen ist, installieren Sie das heruntergeladene Paket mit dem folgenden Befehl:
apt install ./arkime_3.4.2-1_amd64.debSobald Arkime installiert ist, führen Sie den folgenden Befehl aus, um es zu konfigurieren:
/opt/arkime/bin/ConfigureSie werden aufgefordert, die Netzwerkschnittstelle anzugeben, wie unten gezeigt:
Found interfaces: lo;eth0;eth1
Semicolon ';' seperated list of interfaces to monitor [eth1] eth0Geben Sie den Namen Ihrer Netzwerkschnittstelle ein und drücken Sie die Eingabetaste, um fortzufahren. Sobald die Konfiguration abgeschlossen ist, sollten Sie die folgende Ausgabe erhalten:
Install Elasticsearch server locally for demo, must have at least 3G of memory, NOT recommended for production use (yes or no) [no] no
Elasticsearch server URL [http://localhost:9200]
Password to encrypt S2S and other things, don't use spaces [no-default] password
Arkime - Creating configuration files
Installing systemd start files, use systemctl
Arkime - Installing /etc/logrotate.d/arkime to rotate files after 7 days
Arkime - Installing /etc/security/limits.d/99-arkime.conf to make core and memlock unlimited
Download GEO files? You'll need a MaxMind account https://arkime.com/faq#maxmind (yes or no) [yes] no
Arkime - NOT downloading GEO files
Arkime - Configured - Now continue with step 4 in /opt/arkime/README.txt
4) The Configure script can install elasticsearch for you or you can install yourself
systemctl start elasticsearch.service
5) Initialize/Upgrade Elasticsearch Arkime configuration
a) If this is the first install, or want to delete all data
/opt/arkime/db/db.pl http://ESHOST:9200 init
b) If this is an update to a moloch/arkime package
/opt/arkime/db/db.pl http://ESHOST:9200 upgrade
6) Add an admin user if a new install or after an init
/opt/arkime/bin/arkime_add_user.sh admin "Admin User" THEPASSWORD --admin
7) Start everything
systemctl start arkimecapture.service
systemctl start arkimeviewer.service
8) Look at log files for errors
/opt/arkime/logs/viewer.log
/opt/arkime/logs/capture.log
9) Visit http://arkimeHOST:8005 with your favorite browser.
user: admin
password: THEPASSWORD from step #6
If you want IP -> Geo/ASN to work, you need to setup a maxmind account and the geoipupdate program.
See https://arkime.com/faq#maxmind
Any configuration changes can be made to /opt/arkime/etc/config.ini
See https://arkime.com/faq#moloch-is-not-working for issues
Additional information can be found at:
* https://arkime.com/faq
* https://arkime.com/settingsSobald Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.
Elasticsearch Arkime-Konfiguration initialisieren
Als Nächstes müssen Sie die Elasticsearch Arkime-Konfiguration initialisieren. Sie können dies mit dem folgenden Befehl tun:
/opt/arkime/db/db.pl http://localhost:9200 initErstellen Sie als Nächstes ein Administratorkonto für Arkime mit dem folgenden Befehl:
/opt/arkime/bin/arkime_add_user.sh admin "Moloch SuperAdmin" password --adminAktualisieren Sie als Nächstes die Geo-Datenbank mit dem folgenden Befehl:
/opt/arkime/bin/arkime_update_geo.shSobald Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.
Arkime-Dienste starten und verwalten
Arkime besteht aus drei Komponenten: Capture, Viewer und Elasticsearch. Daher müssen Sie den Dienst für jede Komponente starten.
Sie können den Arkimecapture- und Arkimeviewer-Dienst starten und aktivieren, damit sie beim Systemneustart gestartet werden, mit dem folgenden Befehl:
systemctl enable --now arkimecapture
systemctl enable --now arkimeviewerSie können jetzt den Status beider Dienste mit dem folgenden Befehl überprüfen:
systemctl status arkimecapture arkimeviewerSie sollten die folgende Ausgabe erhalten:
? arkimecapture.service - Arkime Capture
Loaded: loaded (/etc/systemd/system/arkimecapture.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2022-08-15 03:55:10 UTC; 1min 0s ago
Process: 33704 ExecStartPre=/opt/arkime/bin/arkime_config_interfaces.sh -c /opt/arkime/etc/config.ini -n default (code=exited, status=0/S>
Main PID: 33724 (sh)
Tasks: 7 (limit: 2242)
Memory: 213.2M
CPU: 806ms
CGroup: /system.slice/arkimecapture.service
??33724 /bin/sh -c "/opt/arkime/bin/capture -c /opt/arkime/etc/config.ini >> /opt/arkime/logs/capture.log 2>&1"
??33725 /opt/arkime/bin/capture -c /opt/arkime/etc/config.ini
Aug 15 03:55:09 ubuntu2204 systemd[1]: Starting Arkime Capture...
Aug 15 03:55:10 ubuntu2204 systemd[1]: Started Arkime Capture.
? arkimeviewer.service - Arkime Viewer
Loaded: loaded (/etc/systemd/system/arkimeviewer.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2022-08-15 03:08:39 UTC; 47min ago
Main PID: 31759 (sh)
Tasks: 12 (limit: 2242)
Memory: 56.7M
CPU: 2.127s
CGroup: /system.slice/arkimeviewer.service
??31759 /bin/sh -c "/opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini >> /opt/arkime/logs/viewer.log 2>&1"
??31760 /opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini
Aug 15 03:08:39 ubuntu2204 systemd[1]: Started Arkime Viewer.Sie können das Viewer-Protokoll mit dem folgenden Befehl überprüfen:
tail -f /opt/arkime/logs/viewer.logSie können jetzt das Capture-Protokoll mit dem folgenden Befehl überprüfen:
tail -f /opt/arkime/logs/capture.logSie sollten die folgende Ausgabe sehen:
Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 2/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1408-5 804/159 0ms 20ms
Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=66 798/157 0ms 24ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 715/221 0ms 10ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=67 805/158 0ms 12ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 1471/253 0ms 24ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=68 806/157 0ms 18ms
Aug 15 03:57:25 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1409-5 808/159 0ms 10msZugriff auf die Arkime-Weboberfläche
An diesem Punkt ist Arkime gestartet und hört auf Port 8005. Sie können dies mit dem folgenden Befehl überprüfen:
ss -antpl | grep 8005Sie sollten die folgende Ausgabe erhalten:
LISTEN 0 511 *:8005 *:* users:(("node",pid=11362,fd=20)) Öffnen Sie nun Ihren Webbrowser und greifen Sie auf die Arkime-Weboberfläche über die URL http://your-server-ip:8005 zu. Sie werden aufgefordert, Ihren Admin-Benutzernamen und Ihr Passwort anzugeben, wie unten gezeigt:
Geben Sie Ihren Admin-Benutzernamen, Ihr Passwort ein und klicken Sie auf die Schaltfläche Anmelden. Sie sollten das Arkime-Dashboard auf der folgenden Seite sehen:
Fazit
Herzlichen Glückwunsch! Sie haben das Arkime-Paketaufzeichnungstool erfolgreich auf dem Ubuntu 22.04-Server installiert und konfiguriert. Sie können jetzt Arkime erkunden, um weitere Funktionen zu entdecken und mit der Paketerfassung zu beginnen. Zögern Sie nicht, mich zu fragen, wenn Sie Fragen haben.
Erhalte neue Beiträge in deinem Posteingang.
Kein Spam. Jederzeit abmelden.