Arkime错误排查手册:常见问题与解决方案速查
【免费下载链接】arkime 
项目地址: https://gitcode.com/gh_mirrors/ark/arkime
在网络流量分析工作中,你是否经常遇到Arkime(原Moloch)捕获数据异常、界面无法访问或Elasticsearch连接失败等问题?本文整理了10类常见故障场景及对应解决方案,配合配置文件路径与测试工具指南,帮助你快速定位问题根源。
一、基础环境验证
1.1 系统依赖检查
症状:启动时报错"缺少libpcap"或"node.js版本过低"
解决方案:
- 确认已安装所有依赖:
yum install -y libpcap-devel elasticsearch - 验证Node.js版本≥14.x:
node -v - 参考开发环境配置:viewer/README.md
1.2 配置文件验证
关键配置文件路径:
检查要点:
[elasticsearch]
url = http://localhost:9200 # 确保ES服务可访问
username = elastic
password = changeme
[capture]
interfaces = eth0 # 确认网卡名称正确
二、捕获服务故障
2.1 捕获进程未启动
症状:systemctl status arkimecapture显示服务未运行
解决方案:
- 检查日志:
journalctl -u arkimecapture - 手动启动排查:
/opt/arkime/bin/capture --config /etc/arkime/config.ini - 进程架构参考:capture/DESIGN.md
2.2 数据包解析异常
症状:捕获数据中协议识别错误或字段缺失
解决方案:
- 运行协议解析测试:
cd tests && ./tests.pl pcap/SNMPv2c_get_requests.pcap - 检查解析器状态:capture/parsers/目录下插件完整性
- 测试用例库:tests/pcap/
三、Elasticsearch连接问题
3.1 连接超时
症状:日志显示"ES connection timeout"
排查流程:
解决方案:
- 测试ES连接:
curl -u elastic:changeme http://localhost:9200/_cluster/health - 调整超时参数:在配置文件增加
esTimeout = 30
3.2 索引创建失败
症状:首次启动后无索引生成
解决方案:
- 手动创建索引模板:
/opt/arkime/db/db.pl http://localhost:9200 init - 检查权限:确认arkime用户有ES写入权限
四、Web界面访问故障
4.1 服务启动失败
症状:npm run start:dev启动时报错
解决方案:
- 安装依赖:
cd viewer && npm install - 验证配置:确保tests/config.test.ini中ES参数正确
- 开发模式启动指南:viewer/README.md
4.2 登录认证失败
症状:输入admin/admin提示"无效凭据"
解决方案:
- 重置管理员密码:
/opt/arkime/bin/arkime_add_user.sh admin "Admin User" newpassword - 用户管理源码:common/user.js
五、性能优化建议
5.1 捕获丢包
症状:arkimecapture日志显示"dropped packets"
优化方案:
- 调整网卡缓冲区:
ethtool -G eth0 rx 4096 tx 4096 - 增加捕获线程:配置文件中
packetThreads = 4(CPU核心数*2)
5.2 查询缓慢
症状:界面加载会话列表超时
解决方案:
- 优化ES分片:每个索引分片数≤CPU核心数
- 调整查询参数:在高级搜索中增加时间范围过滤
六、附录:常用诊断工具
| 工具路径 | 用途 | 使用示例 |
|---|---|---|
| contrib/moloch_query | 会话数据查询 | ./moloch_query -r "ip.dst:192.168.1.1" |
| tests/tests.pl | 回归测试套件 | ./tests.pl --viewer api-connections.t |
| release/arkime_update_geo.sh | 地理IP数据库更新 | ./arkime_update_geo.sh |
七、故障排查流程图
八、参考资料
- 官方配置指南:release/config.ini.sample
- 贡献者文档:CONTRIBUTING.md
- 测试框架说明:tests/README
通过以上步骤仍未解决问题,请收集完整日志文件(/var/log/arkime/目录下)并提交issue。
【免费下载链接】arkime 项目地址: https://gitcode.com/gh_mirrors/ark/arkime
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
