Arkime 2.7(原Moloch)docker镜像构建

最新推荐文章于 2025-09-17 14:24:22 发布
原创 最新推荐文章于 2025-09-17 14:24:22 发布 · 2.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何为 Arkime 配置 Elasticsearch 版本,并提供了 Docker 部署、RPM 包下载、安装步骤、配置文件详解和额外信息。从基本安装到 IP-Geo/ASN 功能设置,涵盖了 Moloch 的完整部署流程。

准备:

Elasticsearch

首先,Arkime对数据库Elasticsearch有版本要求,这可以使用现有的docker镜像来提供,这里就不多说了,附上docker-compose配置:

Arkime 2.7 requires ES 7.4+

version: '2.2'
services:
  elasticsearch:
    image: elasticsearch:7.8.1
    container_name: elasticsearch_server
    environment:
      TAKE_FILE_OWNERSHIP: 'true'
      TZ: Asia/Shanghai
      bootstrap.memory_lock: 'true'
      discovery.type: single-node
    ulimits:
      memlock:
        hard: -1
        soft: -1
      nofile:
        hard: 262144
        soft: 262144
    volumes:
    - /etc/localtime:/etc/localtime:ro

RPM包下载位置

官网现下访问有点问题,这里另外找到了下载的链接位置:https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.7.1-1.x86_64.rpm

官方的安装步骤:

Instructions for using the prebuilt Arkime packages.
Please report any bugs or feature requests by opening an issue at https://github.com/arkime/arkime/issues 

Basic Arkime Installation steps:
 1) 下载对应的安装包(这里使CentOS7,所以下载的RPM包)
 2) 安装包
 3) 运行Configure脚本进行配置,只需运行一次
     /data/moloch/bin/Configure
 4) Configure脚本可以安装elasticsearch,也可以自行安装
      systemctl start elasticsearch.service
 5) 安装或升级ES的配置
  a) 第一次安装或者想重置数据
      /data/moloch/db/db.pl http://ESHOST:9200 init
  b) 如果这是一次更新升级
      /data/moloch/db/db.pl http://ESHOST:9200 upgrade
 6) 如果是新安装的,或者重置数据库,则添加管理用户
      /data/moloch/bin/moloch_add_user.sh admin "Admin User" THEPASSWORD --admin
 7) 启动
      systemctl start molochcapture.service
      systemctl start molochviewer.service
 8) 这里是两个日志文件
      /data/moloch/logs/viewer.log
      /data/moloch/logs/capture.log
 9) 可以通过浏览器访问 http://MOLOCHHOST:8005
      user: admin
      password: THEPASSWORD from step #6

If you want IP -> Geo/ASN to work, you need to setup a maxmind account and the geoipupdate program.
See https://arkime.com/faq#maxmind

Any configuration changes can be made to /data/moloch/etc/config.ini
See https://arkime.com/faq#moloch-is-not-working for issues

Additional information can be found at:
  * https://arkime.com/faq
  * https://arkime.com/settings

相关命令

rpm的依赖包:
yum install -y net-tools perl-libwww-perl perl-JSON ethtool libyaml-devel perl-LWP-Protocol-https

直接启动容器环境命令:
docker run -it --name=test --network host centos:7

运行python自带的http服务命令,端口默认8000:
python3 -m http.server

构建镜像命令:
docker build -f DockerFile . --network host -t moloch:2.7.1

DockerFile

手动安装过程中,会执行Configure脚本,不过可以执行后把配置文件拿到即可不用该脚本。

FROM centos:7 as build
ENV DOWN_URL http://127.0.0.1:8000
ENV MOLOCH_RPM moloch-2.7.1-1.x86_64.rpm

RUN echo "[INFO] Setup Moloch"

RUN yum install -y net-tools perl-libwww-perl perl-JSON ethtool libyaml-devel perl-LWP-Protocol-https

RUN mkdir /tmp/download && \
curl -o /tmp/$MOLOCH_RPM $DOWN_URL/$MOLOCH_RPM && \
rpm -ivh /tmp/$MOLOCH_RPM

RUN mkdir /usr/share/GeoIP && \
curl -o /usr/share/GeoIP/GeoLite2-ASN.mmdb $DOWN_URL/GeoIP_20200526/GeoLite2-ASN.mmdb && \
curl -o /usr/share/GeoIP/GeoLite2-City.mmdb $DOWN_URL/GeoIP_20200526/GeoLite2-City.mmdb && \
curl -o /usr/share/GeoIP/GeoLite2-Country.mmdb $DOWN_URL/GeoIP_20200526/GeoLite2-Country.mmdb

RUN curl -o /data/moloch/etc/ipv4-address-space.csv $DOWN_URL/etc/ipv4-address-space.csv && \
curl -o /data/moloch/etc/oui.txt $DOWN_URL/etc/oui.txt && \
rm -f /data/moloch/etc/config.ini && \
curl -o /data/moloch/etc/config.ini $DOWN_URL/etc/config.ini

# 去掉一些解析模块
RUN mv /data/moloch/parsers /data/moloch/parsers.bk && mkdir /data/moloch/parsers && \
cp /data/moloch/parsers.bk/arp.so /data/moloch/parsers.bk/icmp.so /data/moloch/parsers.bk/tcp.so /data/moloch/parsers.bk/udp.so /data/moloch/parsers

RUN curl -o /home/start.sh $DOWN_URL/start.sh

RUN mkdir /data/moloch/logs
CMD ["/bin/bash", "/home/start.sh"]

附:config.ini配置文件

# Latest settings documentation: https://molo.ch/settings
#
# Moloch uses a tiered system for configuration variables.  This allows Moloch
# to share one config file for many machines.  The ordering of sections in this
# file doesn't matter.
#
# Order of config variables:
# 1st) [optional] The section titled with the node name is used first.
# 2nd) [optional] If a node has a nodeClass variable, the section titled with
#      the nodeClass name is used next.  Sessions will be tagged with
#      class:<node class name> which may be useful if watching different networks.
# 3rd) The section titled "default" is used last.

[default]
# Comma seperated list of elasticsearch host:port combinations.  If not using a
# Elasticsearch load balancer, a different elasticsearch node in the cluster can be specified
# for each Moloch node to help spread load on high volume clusters.  For user/password
# use http://user:pass@host:port
elasticsearch=http://localhost:9200

# How often to create a new elasticsearch index. hourly,hourly6,daily,weekly,monthly
# Changing the value will cause previous sessions to be unreachable
rotateIndex=daily

# Cert file to use, comment out to use http instead
# certFile=/data/moloch/etc/moloch.cert

# File with trusted roots/certs. WARNING! this replaces default roots
# Useful with self signed certs and can be set per node.
# caTrustFile=/data/moloch/etc/roots.cert

# Private key file to use, comment out to use http instead
# keyFile=/data/moloch/etc/moloch.key

# Password Hash and S2S secret - Must be in default section. Since elasticsearch
# is wide open by default, we encrypt the stored password hashes with this
# so a malicous person can't insert a working new account.  It is also used
# for secure S2S communication. Comment out for no user authentication.
# Changing the value will make all previously stored passwords no longer work.
# Make this RANDOM, you never need to type in
passwordSecret = password

# Use a different password for S2S communication then passwordSecret.
# Must be in default section.  Make this RANDOM, you never need to type in
#serverSecret=

# HTTP Digest Realm - Must be in default section.  Changing the value
# will make all previously stored passwords no longer work
httpRealm = Moloch

# The base path for Moloch web access.  Must end with a / or bad things will happen
# Default: "/"
# webBasePath = /moloch/

# Semicolon ';' seperated list of interfaces to listen on for traffic
interface=em1

# The bpf filter of traffic to ignore
#bpf=not port 9200

# The yara file name
#yara=

# Host to connect to for wiseService
#wiseHost=127.0.0.1

# Log viewer access requests to a different log file
#accessLogFile = /data/moloch/logs/access.log

# Control the log format for access requests. This uses URI % encoding.
#accessLogFormat = :date :username %1b[1m:method%1b[0m %1b[33m:url%1b[0m :status :res[content-length] bytes :response-time ms

# The directory to save raw pcap files to
pcapDir = /data/moloch/raw

# The max raw pcap file size in gigabytes, with a max value of 36G.
# The disk should have room for at least 10*maxFileSizeG
maxFileSizeG = 12

# The max time in minutes between rotating pcap files.  Default is 0, which means
# only rotate based on current file size and the maxFileSizeG variable
#maxFileTimeM = 60

# TCP timeout value.  Moloch writes a session record after this many seconds
# of inactivity.
tcpTimeout = 600

# Moloch writes a session record after this many seconds, no matter if
# active or inactive
tcpSaveTimeout = 720

# UDP timeout value.  Moloch assumes the UDP session is ended after this
# many seconds of inactivity.
udpTimeout = 30

# ICMP timeout value.  Moloch assumes the ICMP session is ended after this
# many seconds of inactivity.
icmpTimeout = 10

# An aproximiate maximum number of active sessions Moloch/libnids will try
# and monitor
maxStreams = 1000000

# Moloch writes a session record after this many packets
maxPackets = 10000

# Delete pcap files when free space is lower then this in gigabytes OR it can be
# expressed as a percentage (ex: 5%).  This does NOT delete the session records in
# the database. It is recommended this value is between 5% and 10% of the disk.
# Database deletes are done by the db.pl expire script
freeSpaceG = 5%

# The port to listen on, by default 8005
viewPort = 8005

# The host/ip to listen on, by default 0.0.0.0 which is ALL
#viewHost = localhost

# By default the viewer process is https://hostname:<viewPort> for each node.
#viewUrl = https://HOSTNAME:8005

# NOTE: A MaxMind account is now required, we will try and use the old files or new files on the system. See
# https://molo.ch/faq#maxmind
geoLite2Country = /usr/share/GeoIP/GeoLite2-Country.mmdb
最低0.47元/天 解锁文章
网络安全系列-四十一: arkimedocker-compose安装及可视化pcap文件示例
penriver的博客
11-21 2308
有了待分析的pcap文件,如何针对pcap文件进行可视化展示,并对pcap文件中的流进行各种查询分析,查看联通图等? 本文基于arkime,来讲解如何基于docker快速搭建环境,并可视化pcap文件进行分析。
arkime安装配置手册--开源网络回溯系统
haoyunbin的博客
06-05 5010
Arkime是一款开源回溯系统。
arkimeArkime(以前称为Moloch)是一个开源,大规模,完整的数据包捕获,索引和数据库系统
01-31
阿基米 Arkime(以前称为Moloch)是一个大型的,开源的,索引化的数据包捕获和搜索系统。 Arkime增强了您当前的安全基础架构,以标准PCAP格式存储和索引网络流量,从而提供了快速的索引访问。 提供了直观,简单的Web界面,用于PCAP浏览,搜索和导出。 Arkime公开了API,这些API允许直接下载和使用PCAP数据和JSON格式的会话数据。 Arkime以标准PCAP格式存储和导出所有数据包,使您还可以在分析工作流程中使用自己喜欢的PCAP提取工具,例如Wireshark。 Arkime构建为可以跨许多系统部署,并且可以扩展以处理数十吉比特/秒的流量。 PCAP保留时间取决于可用的传感器磁盘空间。 元数据保留基于Elasticsearch集群规模。 两者都可以随时增加,并且完全由您控制。 目录 背景 Arkime的创建是为了替代AOL于2012年的商用全包系统。通过完全控制硬件和成本,我们发现我们可以在所有网络上部署全包捕获,而使用商用工具只需一个网络即可获得相同的成本。 Arkime系统由3个组件组成: 捕获-一个线程化的C应用程序,用于监视网络流量,将PCA
Arkime:大规模开源网络分析与数据包捕获系统
最新发布
分享技术点滴
09-17 577
Arkime(前身为Moloch)是一个大规模、开源的网络数据包捕获和分析系统,专为处理现代网络环境中的高速流量而设计。该系统能够存储和索引标准PCAP格式的网络流量数据,提供快速的索引访问和直观的Web界面用于数据包浏览、搜索和导出。Arkime支持水平扩展,可以部署在多个系统上处理数十Gbps的流量。Arkime保留了所有始数据包,允许安全分析师使用Wireshark等标准工具进行深度分析,同时提供了强大的API接口用于程序化访问会话数据和PCAP文件。
arkimeweb:arkime.com的网站
05-11
阿基米 Arkime是一个大型的,开源的,索引化的数据包捕获和搜索系统。 这是网站 贡献 请参阅文件以获取有关如何参与的信息。 我们欢迎您提出问题,功能请求,提取请求和文档​​更新。 如果您对使用arkime.com网站以及向arkime.com网站做出贡献有任何疑问,请放松我们(请参阅下文)。 维护者 到达我们的最好方法是在Slack上。 请请求邀请加入Arkime FPC Slack工作区。
Ark-docker:适用于ARK的Docker
05-14
方舟:生存进化-Docker 用于管理ARK的Docker构建:生存演进服务器。 该映像使用来管理方舟服务器。 如果使用旧卷,请在模板目录中获取新的arkmanager.cfg。 不要忘记使用docker pull turzam/ark获取最新版本的映像 特征 易于安装(无需steamcmd / lib32 ...即可安装) 使用方舟服务器工具:更新/安装/启动/备份/ rcon / mods 简单的crontab配置 轻松访问方舟配置文件 Mods处理(通过Ark Server工具) Docker stop是一个干净的停止 用法 快速简便的服务器设置: docker run -d -p 7778:7778 -p 7778:7778/udp -p 27015:27015 -p 27015:27015/udp -e SESSIONNAME=myserver -e ADMINPAS
Moloch-开源
04-26
**Moloch 开源项目详解** Moloch 是一款引人入胜的多用户地下城游戏,它以其独特的设计和开放源代码的特性吸引了众多玩家和开发者。该项目使用 C++ 作为主要编程语言,保证了游戏性能的强大和高效。同时,Moloch ...
moloch-2.2.0-1.x86_64.rpm
02-24
可能是最好的开源网络安全框架
Moloch安装与使用
12306小哥
04-10 4447
0X01 moloch简介 Moloch是一款由 AOL 开源的,能够大规模的捕获IPv4数据包(PCAP)、索引和数据库系统。所以我的Capture Machines和Elasticsearch Machines都放在一台上面, 有条件的强烈推荐把这2个组件分离开来。 根据官方介绍,需要留意一下事情: 1.Moloch不支持322.内核4.X 有助于抓包性能提升 0x02 Moloch...
10分钟学会Docker的安装和使用
lynnhgwang的博客
08-20 9万+
文章目录Docker简介Docker安装Windows安装Linux安装CentOS安装Ubuntu安装 最近花了些时间学习docker技术相关,在此做一些总结,供往后复查和像了解docker的学习。 Docker简介 简而言之,Docker 是一个可供开发者通过容器(container)构建,运行和共享应用(application)的平台。用容器来部署应用被称为集装箱化(containerization)。 想了解更多信息可到docker官网查看。 Docker安装 Windows安装 开启Hyper
Arkime连接加密的Elasticsearch_h404j
weixin_46316564的博客
06-25 384
Arkime 连接加密的Elasticsearch (简单易懂)
Arkime的es数据库设置账号密码__h404
weixin_46316564的博客
06-24 951
Arkime的es数据库设置账号密码
Arkime 修改默认安装的 Elasticsearch 的端口
weixin_46316564的博客
06-24 1957
Arkime 修改默认安装的Elasticsearch端口
新手安装Arkime不求人
李晨光原创IT博客
09-04 848
初学者补齐短板之后,再学习Arkime,也不太现实,为了让新快速入门,笔者精心设计《开源全流量捕获工具Arkime 4 安装教程》 https://edu.51cto.com/course/33695.html这套教材,这门课重点解决系统安装难点和数据分析技巧等问题,通过学习零基础用户能快速上手。安装Arkime软件本身并没有什么难度,依赖问题解决之后,下载二进制文件安装就好了,但它必须和ElasticSearch(后面简称ES)一起工作,所以必须对ELK工作理有所了解,最好会配置。
基于开源项目构建 CFS(网络靶场实战演练)平台
深山技术宅的博客
07-03 1447
摘要:构建CFS网络靶场可使用多个开源组件组合,包括EVE-NG/GNS3或ContainerLab构建网络环境,Kasm提供工作空间,CALDERA+Atomic Red Team实现攻击模拟,DetectionLab建立防御环境,Malcolm/Arkime进行流量监控,CyRIS提供编排框架,Vulhub/DVWA创建漏洞靶标。关键在于通过API深度集成各组件,同时需注重安全隔离、资源规划及维护成本。建议开发统一管理平台,结合Ansible/Terraform实现自动化部署,打造定制化实战演练环境。(
快速安装Docker详细图文步骤教程
SoulNone的博客
09-18 1万+
快速安装Docker详细图文步骤教程
安装Docker详细步骤总结
热门推荐
哈哈
11-10 13万+
一、安装Docker ♦️ 1.下载关于Docker的依赖环境 在Xterm中输入以下代码安装依赖环境 回车 yum -y install yum-utils device-mapper-persistent-datalvm2 使用yum工具下载 yum是软件包管理工具 通过 执行 man yum 可以查看yum的帮助信息 ♦️2.设置一下下载Docker镜像源 依赖环境下载完毕以后,设置下载的镜像源,如果不设置,会默认去Docker的官方下载,但是官方的服务器在国外,下载会比较缓慢,设置下载国内的镜
Elasticsearch 和arkime 安装
kuzemax的博客
01-19 2115
ipv4-address-space.csv下载地址:https://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.csv。arkime这里使用wgethttps://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/arkime_3.4.2-1_amd64.deb。修改arkime配置文件/opt/arkime/etc/config.ini启用如下参数。
Arkime数据包捕获与搜索系统官方网站
ArkimeMoloch,是一个用于捕获和分析网络数据包的工具,它支持大规模部署,使得网络流量的捕获、索引、存储和搜索变得可行。它主要用于网络安全分析、网络取证和流量审计等场景。 知识点一:网络数据包捕获与...
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值