Installation Arkime · 7 min read · Oct 10, 2025
Comment installer l'outil de capture de paquets Arkime Moloch sur Ubuntu 22.04
Arkime est un outil de capture et de recherche de paquets indexés à grande échelle, gratuit et open-source, qui stocke et indexe le trafic réseau au format PCAP. Il est également connu sous le nom de Moloch, qui est conçu pour être déployé sur plusieurs systèmes en cluster, offrant la capacité de s’adapter pour gérer plusieurs gigabits par seconde de trafic. Arkime dispose d’une interface d’administration intégrée qui vous aide à parcourir, rechercher et exporter des PCAP. Vous pouvez utiliser d’autres outils d’ingestion de PCAP pour analyser votre flux de travail.
Ce tutoriel vous montrera comment installer l’outil de capture de paquets Arkime sur Ubuntu 22.04.
Prérequis
- Un serveur exécutant Ubuntu 22.04.
- Un mot de passe root configuré sur le serveur.
Mise en route
Avant de commencer, vous devrez mettre à jour les paquets de votre système vers la dernière version. Vous pouvez les mettre à jour avec la commande suivante :
apt-get update -yUne fois tous les paquets mis à jour, installez les dépendances requises en utilisant la commande suivante :
apt-get install gnupg2 curl wget -yEnsuite, vous devrez également installer les bibliothèques Libssl et Libffi sur votre système. Vous pouvez télécharger et installer les deux en exécutant la commande suivante :
wget http://es.archive.ubuntu.com/ubuntu/pool/main/libf/libffi/libffi7_3.3-4_amd64.deb
wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2_amd64.deb
dpkg -i libffi7_3.3-4_amd64.deb
dpkg -i libssl1.1_1.1.1f-1ubuntu2_amd64.deb
ln -s /usr/lib/x86_64-linux-gnu/libssl.so.1.1 /usr/local/lib/
ln -s /usr/lib/x86_64-linux-gnu/libffi.so.7 /usr/local/lib/Une fois tous les paquets installés, vous pouvez passer à l’étape suivante.
Installer Elasticsearch
Arkime utilise Elasticsearch pour l’indexation et la recherche. Donc, Elasticsearch doit être installé sur votre système. Par défaut, la dernière version d’Elasticsearch n’est pas incluse dans le dépôt par défaut d’Ubuntu. Vous devrez donc ajouter le dépôt Elasticsearch à votre système.
Tout d’abord, ajoutez la clé GPG avec la commande suivante :
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | apt-key add -Ensuite, ajoutez le dépôt Elasticsearch à l’APT avec la commande suivante :
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.listEnsuite, mettez à jour le dépôt et installez le paquet Elasticsearch avec la commande suivante :
apt-get update -y
apt-get install elasticsearch -yUne fois Elasticsearch installé, éditez le fichier de configuration d’Elasticsearch et définissez la mémoire Java :
nano /etc/elasticsearch/jvm.optionsChangez les lignes suivantes :
-Xms500m
-Xmx500m
Enregistrez et fermez le fichier, puis activez le service Elasticsearch pour qu’il démarre au redémarrage du système avec la commande suivante :
systemctl enable --now elasticsearchPar défaut, Elasticsearch écoute sur le port 9200. Vous pouvez le vérifier avec la commande suivante :
ss -antpl | grep 9200Vous devriez obtenir la sortie suivante :
LISTEN 0 4096 [::ffff:127.0.0.1]:9200 *:* users:(("java",pid=30581,fd=291))
LISTEN 0 4096 [::1]:9200 [::]:* users:(("java",pid=30581,fd=290))
Vous pouvez également vérifier Elasticsearch avec la commande suivante :
curl http://localhost:9200Vous devriez obtenir la sortie suivante :
{
"name" : "ubuntu2204",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "6QiUfVa4Q9G8lxHjuVLjUQ",
"version" : {
"number" : "7.17.5",
"build_flavor" : "default",
"build_type" : "deb",
"build_hash" : "8d61b4f7ddf931f219e3745f295ed2bbc50c8e84",
"build_date" : "2022-06-23T21:57:28.736740635Z",
"build_snapshot" : false,
"lucene_version" : "8.11.1",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "Vous savez, pour la recherche"
}
À ce stade, Elasticsearch est installé et en cours d’exécution. Vous pouvez maintenant passer à l’étape suivante.
Installer et configurer Arkime
Tout d’abord, téléchargez la dernière version d’Arkime avec la commande suivante :
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/arkime_3.4.2-1_amd64.debUne fois le paquet téléchargé, installez le paquet téléchargé avec la commande suivante :
apt install ./arkime_3.4.2-1_amd64.debUne fois Arkime installé, exécutez la commande suivante pour le configurer :
/opt/arkime/bin/ConfigureVous serez invité à spécifier l’interface réseau comme indiqué ci-dessous :
Found interfaces: lo;eth0;eth1
Semicolon ';' seperated list of interfaces to monitor [eth1] eth0
Tapez le nom de votre interface réseau et appuyez sur Entrée pour continuer. Une fois la configuration terminée, vous devriez obtenir la sortie suivante :
Install Elasticsearch server locally for demo, must have at least 3G of memory, NOT recommended for production use (yes or no) [no] no
Elasticsearch server URL [http://localhost:9200]
Password to encrypt S2S and other things, don't use spaces [no-default] password
Arkime - Creating configuration files
Installing systemd start files, use systemctl
Arkime - Installing /etc/logrotate.d/arkime to rotate files after 7 days
Arkime - Installing /etc/security/limits.d/99-arkime.conf to make core and memlock unlimited
Download GEO files? You'll need a MaxMind account https://arkime.com/faq#maxmind (yes or no) [yes] no
Arkime - NOT downloading GEO files
Arkime - Configured - Now continue with step 4 in /opt/arkime/README.txt
4) The Configure script can install elasticsearch for you or you can install yourself
systemctl start elasticsearch.service
5) Initialize/Upgrade Elasticsearch Arkime configuration
a) If this is the first install, or want to delete all data
/opt/arkime/db/db.pl http://ESHOST:9200 init
b) If this is an update to a moloch/arkime package
/opt/arkime/db/db.pl http://ESHOST:9200 upgrade
6) Add an admin user if a new install or after an init
/opt/arkime/bin/arkime_add_user.sh admin "Admin User" THEPASSWORD --admin
7) Start everything
systemctl start arkimecapture.service
systemctl start arkimeviewer.service
8) Look at log files for errors
/opt/arkime/logs/viewer.log
/opt/arkime/logs/capture.log
9) Visit http://arkimeHOST:8005 with your favorite browser.
user: admin
password: THEPASSWORD from step #6
If you want IP -> Geo/ASN to work, you need to setup a maxmind account and the geoipupdate program.
See https://arkime.com/faq#maxmind
Any configuration changes can be made to /opt/arkime/etc/config.ini
See https://arkime.com/faq#moloch-is-not-working for issues
Additional information can be found at:
* https://arkime.com/faq
* https://arkime.com/settings
Une fois que vous avez terminé, vous pouvez passer à l’étape suivante.
Initialiser la configuration Arkime d’Elasticsearch
Ensuite, vous devrez initialiser la configuration Arkime d’Elasticsearch. Vous pouvez le faire avec la commande suivante :
/opt/arkime/db/db.pl http://localhost:9200 initEnsuite, créez un compte utilisateur administrateur pour Arkime avec la commande suivante :
/opt/arkime/bin/arkime_add_user.sh admin "Moloch SuperAdmin" password --adminEnsuite, mettez à jour la base de données Geo en utilisant la commande suivante :
/opt/arkime/bin/arkime_update_geo.shUne fois que vous avez terminé, vous pouvez passer à l’étape suivante.
Démarrer et gérer les services Arkime
Arkime est composé de trois composants : capture, viewer et elasticsearch. Vous devrez donc démarrer le service pour chaque composant.
Vous pouvez démarrer le service Arkimecapture et Arkimeviewer et les activer pour qu’ils démarrent au redémarrage du système avec la commande suivante :
systemctl enable --now arkimecapture
systemctl enable --now arkimeviewerVous pouvez maintenant vérifier l’état des deux services avec la commande suivante :
systemctl status arkimecapture arkimeviewerVous devriez obtenir la sortie suivante :
? arkimecapture.service - Arkime Capture
Loaded: loaded (/etc/systemd/system/arkimecapture.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2022-08-15 03:55:10 UTC; 1min 0s ago
Process: 33704 ExecStartPre=/opt/arkime/bin/arkime_config_interfaces.sh -c /opt/arkime/etc/config.ini -n default (code=exited, status=0/S>
Main PID: 33724 (sh)
Tasks: 7 (limit: 2242)
Memory: 213.2M
CPU: 806ms
CGroup: /system.slice/arkimecapture.service
??33724 /bin/sh -c "/opt/arkime/bin/capture -c /opt/arkime/etc/config.ini >> /opt/arkime/logs/capture.log 2>&1"
??33725 /opt/arkime/bin/capture -c /opt/arkime/etc/config.ini
Aug 15 03:55:09 ubuntu2204 systemd[1]: Starting Arkime Capture...
Aug 15 03:55:10 ubuntu2204 systemd[1]: Started Arkime Capture.
? arkimeviewer.service - Arkime Viewer
Loaded: loaded (/etc/systemd/system/arkimeviewer.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2022-08-15 03:08:39 UTC; 47min ago
Main PID: 31759 (sh)
Tasks: 12 (limit: 2242)
Memory: 56.7M
CPU: 2.127s
CGroup: /system.slice/arkimeviewer.service
??31759 /bin/sh -c "/opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini >> /opt/arkime/logs/viewer.log 2>&1"
??31760 /opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini
Aug 15 03:08:39 ubuntu2204 systemd[1]: Started Arkime Viewer.
Vous pouvez vérifier le journal du viewer avec la commande suivante :
tail -f /opt/arkime/logs/viewer.logVous pouvez maintenant vérifier le journal de capture avec la commande suivante :
tail -f /opt/arkime/logs/capture.logVous devriez voir la sortie suivante :
Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 2/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1408-5 804/159 0ms 20ms
Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=66 798/157 0ms 24ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 715/221 0ms 10ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=67 805/158 0ms 12ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 1471/253 0ms 24ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=68 806/157 0ms 18ms
Aug 15 03:57:25 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1409-5 808/159 0ms 10ms
Accéder à l’interface Web d’Arkime
À ce stade, Arkime est démarré et écoute sur le port 8005. Vous pouvez le vérifier avec la commande suivante :
ss -antpl | grep 8005Vous devriez obtenir la sortie suivante :
LISTEN 0 511 *:8005 *:* users:(("node",pid=11362,fd=20))
Maintenant, ouvrez votre navigateur Web et accédez à l’interface Web d’Arkime en utilisant l’URL http://your-server-ip:8005. Vous serez invité à fournir votre nom d’utilisateur et votre mot de passe administrateur comme indiqué ci-dessous :
Fournissez votre nom d’utilisateur administrateur, votre mot de passe et cliquez sur le bouton Se connecter. Vous devriez voir le tableau de bord d’Arkime sur la page suivante :
Conclusion
Félicitations ! Vous avez réussi à installer et configurer l’outil de capture de paquets Arkime sur le serveur Ubuntu 22.04. Vous pouvez maintenant explorer Arkime pour plus de fonctionnalités et commencer à capturer des paquets. N’hésitez pas à me poser des questions si vous en avez.
Recevez de nouveaux articles dans votre boîte de réception.
Aucun spam. Désabonnez-vous à tout moment.