Príprava pred inštaláciou

Arkime používa Elasticsearch na indexovanie a prehľadávanie odchytenej prevádzky. Preto musíme najskôr nainštalovať Elasticsearch. Arkime 5.x je kompatibilný s Elasticsearchom verzie 7.10+, 8+

Pred inštaláciou aktualizujeme balíčky

sudo apt update
sudo apt upgrade

Nainštalovanie Java Development Kit-u

sudo apt install openjdk-8-jdk

Siahnutie a pridanie verejného kľúča

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg

Pridanie Elasticsearch 8+ repozitára

echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list

Znova aktualizujeme repozitáre

sudo apt update

Vypneme swapovanie

sudo swapoff -a

Nainštalujeme Elasticsearch

sudo apt install elasticsearch

Po inštalácií nakonfigurujeme Elasticsearch podľa potreby v konfiguračnom súbore (obyklá cesta „/etc/elasticsearch/elasticsearch.yml“).

Nepovinné: Nastavenie obmedzenia pamäte RAM pre Elasticsearch. V „/etc/elasticsearch/jvm.options.d/“ vytvoríme textový súbor (napr sudo nano /etc/elasticsearch/jvm.options.d/heap.option) Doň vložíme nasledovný text (Alokovanie 4GB pamäte pri štarte java virtual machine a nastaví horný limit pamäte 4GB).

-Xms4g
-Xmx4g

Povolíme automatické zapnutie služby pri štarte systému

sudo systemctl enable elasticsearch.service

Spustíme službu Elasticsearchu

sudo systemctl start elasticsearch.service

Skontrolujeme stav služby

sudo systemctl status elasticsearch.service

Inštalácia Arkime

Predom nainštalujeme závislosti

sudo apt-get install wget curl libpcre3-dev uuid-dev libmagic-dev pkg-config g++ flex bison zlib1g-dev libffi-dev gettext libgeoip-dev make libjson-perl libbz2-dev libwww-perl libpng-dev xz-utils libffi-dev

Vyberieme si žiadanú verziu Arkime z GitHubu a následne stiahneme balíček. (https://github.com/arkime/arkime/releases)

wget https://github.com/arkime/arkime/releases/download/v5.6.2/arkime_5.6.2-1.ubuntu2204_amd64.deb

Nainštalujeme arkime balíček

sudo dpkg -i arkime_5.6.2-1.ubuntu2204_amd64.deb

Následne sa spustí inštalačný skript. Keď nás vyzve, či chceme nainštalovať demo Elasticsearch, zvolíme no (predom sme si nainštalovali plnú verziu).

V prípade, že inštalácia zlyhala kvôli chýbajúcim závislostiam použijeme nasledujúci príkaz, potom inštaláciu opakujeme.

sudo apt-get -f install

Spustíme konfiguračný skript a nakonfigurujeme Arkime podľa potreby (Dodatočná konfigurácia sa robí v súbore /opt/arkime/etc/config.ini)

sudo /opt/arkime/bin/Configure

Zinicializovanie databázy(Port a protokol sa môže líšiť podľa konfigurácie Elasticsearchu)

sudo /opt/arkime/db/db.pl http://[Adresa Elasticsearchu]:9200 init

Inštalácia a aktualizácia npm

sudo apt install npm
npm update

Pridanie admin používateľa do Arkime

sudo /opt/arkime/bin/arkime_add_user.sh [login používateľa napr. admin] "[meno účtu napr. Admin účet]" [heslo] --admin

Spustenie capture služby a služby webového rozhrania Arkime

sudo systemctl start arkimecapture.service
sudo systemctl start arkimeviewer.service

Skontrolujeme stav služieb

sudo systemctl status arkimecapture.service
sudo systemctl status arkimeviewer.service

Keď sú služby spustené úspešne, mali by sme sa môcť pripojiť na webové rozhranie Arkime (protokol a port sa môže líšiť podľa konfigurácie Arkime)
http://[IP-Arkime-Servera]:8005

Zdroje:

• NIL UNIZA Inštalácia systému Moloch/Arkime
• Arkime FAQ
• Arkime GitHub
• Elasticsearch