Installazione software · 6 min read · Oct 10, 2025

Come installare lo strumento di cattura pacchetti Arkime Moloch su Ubuntu 22.04

Arkime è uno strumento di cattura e ricerca pacchetti indicizzato, gratuito e open-source, che memorizza e indicizza il traffico di rete in formato PCAP. È anche conosciuto come Moloch, progettato per essere distribuito su più sistemi clusterizzati, fornendo la capacità di scalare per gestire più gigabit al secondo di traffico. Arkime ha un’interfaccia di amministrazione integrata che ti aiuta a navigare, cercare ed esportare PCAP. Puoi utilizzare altri strumenti di ingestione PCAP per analizzare il tuo flusso di lavoro.

Questo tutorial ti mostrerà come installare lo strumento di cattura pacchetti Arkime su Ubuntu 22.04.

Requisiti

  • Un server che esegue Ubuntu 22.04.
  • Una password di root configurata sul server.

Iniziare

Prima di iniziare, dovrai aggiornare i pacchetti del tuo sistema all’ultima versione. Puoi aggiornarli con il seguente comando:

apt-get update -y

Una volta aggiornati tutti i pacchetti, installa le dipendenze richieste utilizzando il seguente comando:

apt-get install gnupg2 curl wget -y

Successivamente, dovrai anche installare le librerie Libssl e Libffi sul tuo sistema. Puoi scaricare e installare entrambe eseguendo il seguente comando:

wget http://es.archive.ubuntu.com/ubuntu/pool/main/libf/libffi/libffi7_3.3-4_amd64.deb  
wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2_amd64.deb  
dpkg -i libffi7_3.3-4_amd64.deb  
dpkg -i libssl1.1_1.1.1f-1ubuntu2_amd64.deb  
ln -s /usr/lib/x86_64-linux-gnu/libssl.so.1.1 /usr/local/lib/  
ln -s /usr/lib/x86_64-linux-gnu/libffi.so.7 /usr/local/lib/

Una volta installati tutti i pacchetti, puoi procedere al passaggio successivo.

Installa Elasticsearch

Arkime utilizza Elasticsearch per indicizzare e cercare. Quindi Elasticsearch deve essere installato nel tuo sistema. Per impostazione predefinita, l’ultima versione di Elasticsearch non è inclusa nel repository predefinito di Ubuntu. Dovrai quindi aggiungere il repository di Elasticsearch al tuo sistema.

Per prima cosa, aggiungi la chiave GPG con il seguente comando:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | apt-key add -

Successivamente, aggiungi il repository di Elasticsearch all’APT con il seguente comando:

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list

Successivamente, aggiorna il repository e installa il pacchetto Elasticsearch con il seguente comando:

apt-get update -y  
apt-get install elasticsearch -y

Una volta installato Elasticsearch, modifica il file di configurazione di Elasticsearch e imposta la memoria Java:

nano /etc/elasticsearch/jvm.options

Cambia le seguenti righe:

-Xms500m
-Xmx500m

Salva e chiudi il file, quindi abilita il servizio Elasticsearch per avviarsi al riavvio del sistema con il seguente comando:

systemctl enable --now elasticsearch

Per impostazione predefinita, Elasticsearch ascolta sulla porta 9200. Puoi verificarlo con il seguente comando:

ss -antpl | grep 9200

Dovresti ottenere il seguente output:

LISTEN 0      4096   [::ffff:127.0.0.1]:9200            *:*    users:(("java",pid=30581,fd=291))                                                                                                                                                                                                                                                                                
LISTEN 0      4096                [::1]:9200         [::]:*    users:(("java",pid=30581,fd=290))

Puoi anche controllare Elasticsearch con il seguente comando:

curl http://localhost:9200

Dovresti ottenere il seguente output:

{
  "name" : "ubuntu2204",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "6QiUfVa4Q9G8lxHjuVLjUQ",
  "version" : {
    "number" : "7.17.5",
    "build_flavor" : "default",
    "build_type" : "deb",
    "build_hash" : "8d61b4f7ddf931f219e3745f295ed2bbc50c8e84",
    "build_date" : "2022-06-23T21:57:28.736740635Z",
    "build_snapshot" : false,
    "lucene_version" : "8.11.1",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "Sai, per la ricerca"
}

A questo punto, Elasticsearch è installato e in esecuzione. Puoi ora procedere al passaggio successivo.

Installa e configura Arkime

Per prima cosa, scarica l’ultima versione di Arkime con il seguente comando:

wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/arkime_3.4.2-1_amd64.deb

Una volta scaricato il pacchetto, installa il pacchetto scaricato con il seguente comando:

apt install ./arkime_3.4.2-1_amd64.deb

Una volta installato Arkime, esegui il seguente comando per configurarlo:

/opt/arkime/bin/Configure

Ti verrà chiesto di specificare l’interfaccia di rete come mostrato di seguito:

Found interfaces: lo;eth0;eth1
Semicolon ';' seperated list of interfaces to monitor [eth1] eth0

Digita il nome della tua interfaccia di rete e premi Invio per continuare. Una volta completata la configurazione, dovresti ottenere il seguente output:

Install Elasticsearch server locally for demo, must have at least 3G of memory, NOT recommended for production use (yes or no) [no] no
Elasticsearch server URL [http://localhost:9200] 
Password to encrypt S2S and other things, don't use spaces [no-default] password
Arkime - Creating configuration files
Installing systemd start files, use systemctl
Arkime - Installing /etc/logrotate.d/arkime to rotate files after 7 days
Arkime - Installing /etc/security/limits.d/99-arkime.conf to make core and memlock unlimited
Download GEO files? You'll need a MaxMind account https://arkime.com/faq#maxmind (yes or no) [yes] no
Arkime - NOT downloading GEO files

Arkime - Configured - Now continue with step 4 in /opt/arkime/README.txt

 4) The Configure script can install elasticsearch for you or you can install yourself
      systemctl start elasticsearch.service
 5) Initialize/Upgrade Elasticsearch Arkime configuration
  a) If this is the first install, or want to delete all data
      /opt/arkime/db/db.pl http://ESHOST:9200 init
  b) If this is an update to a moloch/arkime package
      /opt/arkime/db/db.pl http://ESHOST:9200 upgrade
 6) Add an admin user if a new install or after an init
      /opt/arkime/bin/arkime_add_user.sh admin "Admin User" THEPASSWORD --admin
 7) Start everything
      systemctl start arkimecapture.service
      systemctl start arkimeviewer.service
 8) Look at log files for errors
      /opt/arkime/logs/viewer.log
      /opt/arkime/logs/capture.log
 9) Visit http://arkimeHOST:8005 with your favorite browser.
      user: admin
      password: THEPASSWORD from step #6

If you want IP -> Geo/ASN to work, you need to setup a maxmind account and the geoipupdate program.
See https://arkime.com/faq#maxmind

Any configuration changes can be made to /opt/arkime/etc/config.ini
See https://arkime.com/faq#moloch-is-not-working for issues

Additional information can be found at:
  * https://arkime.com/faq
  * https://arkime.com/settings

Una volta terminato, puoi procedere al passaggio successivo.

Inizializza la configurazione di Elasticsearch Arkime

Successivamente, dovrai inizializzare la configurazione di Elasticsearch Arkime. Puoi farlo con il seguente comando:

/opt/arkime/db/db.pl http://localhost:9200 init

Successivamente, crea un account utente amministratore per Arkime con il seguente comando:

/opt/arkime/bin/arkime_add_user.sh admin "Moloch SuperAdmin" password --admin

Successivamente, aggiorna il database Geo utilizzando il seguente comando:

/opt/arkime/bin/arkime_update_geo.sh

Una volta terminato, puoi procedere al passaggio successivo.

Avvia e gestisci i servizi Arkime

Arkime è composto da tre componenti: cattura, visualizzatore ed elasticsearch. Dovrai quindi avviare il servizio per ciascuna componente.

Puoi avviare il servizio Arkimecapture e Arkimeviewer e abilitarli per avviarsi al riavvio del sistema con il seguente comando:

systemctl enable --now arkimecapture  
systemctl enable --now arkimeviewer

Ora puoi controllare lo stato di entrambi i servizi con il seguente comando:

systemctl status arkimecapture arkimeviewer

Dovresti ottenere il seguente output:

? arkimecapture.service - Arkime Capture
     Loaded: loaded (/etc/systemd/system/arkimecapture.service; enabled; vendor preset: enabled)
     Active: active (running) since Mon 2022-08-15 03:55:10 UTC; 1min 0s ago
    Process: 33704 ExecStartPre=/opt/arkime/bin/arkime_config_interfaces.sh -c /opt/arkime/etc/config.ini -n default (code=exited, status=0/S>
   Main PID: 33724 (sh)
      Tasks: 7 (limit: 2242)
     Memory: 213.2M
        CPU: 806ms
     CGroup: /system.slice/arkimecapture.service
             ??33724 /bin/sh -c "/opt/arkime/bin/capture -c /opt/arkime/etc/config.ini  >> /opt/arkime/logs/capture.log 2>&1"
             ??33725 /opt/arkime/bin/capture -c /opt/arkime/etc/config.ini

Aug 15 03:55:09 ubuntu2204 systemd[1]: Starting Arkime Capture...
Aug 15 03:55:10 ubuntu2204 systemd[1]: Started Arkime Capture.

? arkimeviewer.service - Arkime Viewer
     Loaded: loaded (/etc/systemd/system/arkimeviewer.service; enabled; vendor preset: enabled)
     Active: active (running) since Mon 2022-08-15 03:08:39 UTC; 47min ago
   Main PID: 31759 (sh)
      Tasks: 12 (limit: 2242)
     Memory: 56.7M
        CPU: 2.127s
     CGroup: /system.slice/arkimeviewer.service
             ??31759 /bin/sh -c "/opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini  >> /opt/arkime/logs/viewer.log 2>&1"
             ??31760 /opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini

Aug 15 03:08:39 ubuntu2204 systemd[1]: Started Arkime Viewer.

Puoi controllare il log del visualizzatore con il seguente comando:

tail -f /opt/arkime/logs/viewer.log

Ora puoi controllare il log della cattura con il seguente comando:

tail -f /opt/arkime/logs/capture.log

Dovresti vedere il seguente output:

Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 2/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1408-5 804/159 0ms 20ms
Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=66 798/157 0ms 24ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 715/221 0ms 10ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=67 805/158 0ms 12ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 1471/253 0ms 24ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=68 806/157 0ms 18ms
Aug 15 03:57:25 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1409-5 808/159 0ms 10ms

Accedi all’interfaccia web di Arkime

A questo punto, Arkime è avviato e in ascolto sulla porta 8005. Puoi verificarlo con il seguente comando:

ss -antpl | grep 8005

Dovresti ottenere il seguente output:

LISTEN   0        511                          *:8005                  *:*       users:(("node",pid=11362,fd=20))

Ora, apri il tuo browser web e accedi all’interfaccia web di Arkime utilizzando l’URL http://your-server-ip:8005. Ti verrà chiesto di fornire il tuo nome utente e la tua password di amministratore come mostrato di seguito:

Fornisci il tuo nome utente di amministratore, la password e fai clic sul pulsante Accedi. Dovresti vedere il cruscotto di Arkime nella seguente pagina:

Conclusione

Congratulazioni! hai installato e configurato con successo lo strumento di cattura pacchetti Arkime sul server Ubuntu 22.04. Puoi ora esplorare Arkime per ulteriori funzionalità e iniziare a catturare pacchetti. Sentiti libero di chiedermi se hai domande.

Share: X/Twitter LinkedIn
#Installazione software

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.