Arkime(アーキメというらしい)を使ってネットワークキャプチャをします。
参考:サイバーディフェンス研究所
https://io.cyberdefense.jp/entry/ot_ids_oss
いきさつ
pcapファイルを保存するとファイルが大量に保存される。NICに通ったものをそのまま解析したい。
前提
- OS:Ubuntu
- VMで動いてる
- Arkimeのセッティングは終わっており、arkime-import.serviceを利用し、pcapファイルを一定周期で保存し、そのデータを解析している。
- NICは二つある。(インターネット用、キャプチャ用)
config設定
cd /opt/arkime/etc/
sudo vim config.ini
最終行に
tcpSaveTimeout=600
maxFileTimeM=10
を追記
自動起動設定
sudo systemctl enable --now arkimecapture
起動
sudo systemctl restart arkimecapture
ステータス
sudo systemctl status arkimecapture
× arkimecapture.service - Arkime Capture
Loaded: loaded (/etc/systemd/system/arkimecapture.service; enabled; preset: enabled)
Active: failed (Result: exit-code) since Sat 2024-06-08 20:49:32 JST; 4min 18s ago
Duration: 27ms
Process: 2422 ExecStartPre=/opt/arkime/bin/arkime_config_interfaces.sh -c /opt/arkime/etc/config.>
Process: 2431 ExecStart=/bin/sh -c /opt/arkime/bin/capture -c /opt/arkime/etc/config.ini ${OPTION>
Jun 08 20:49:32 ubuntu systemd[1]: arkimecapture.service: Scheduled restart job, restart counter is a>Jun 08 20:49:32 ubuntu systemd[1]: arkimecapture.service: Start request repeated too quickly.
Jun 08 20:49:32 ubuntu systemd[1]: arkimecapture.service: Failed with result 'exit-code'.Jun 08 20:49:32 ubuntu systemd[1]: Failed to start arkimecapture.service - Arkime Capture.Jun 08 20:49:35 ubuntu systemd[1]: arkimecapture.service: Start request repeated too quickly.
Jun 08 20:49:35 ubuntu systemd[1]: arkimecapture.service: Failed with result 'exit-code'.Jun 08 20:49:35 ubuntu systemd[1]: Failed to start arkimecapture.service - Arkime Capture.
エラーログ確認
エラーログは /opt/arkime/etc/logs/capture.log にあるとのことなのでcd /opt/arkime/etc/
sudo cat capture.log
(sudoが必要)
FATAL CONFIG ERROR - pcap open live failed! eth1: No such device exists (No such device exists)
と表示されました。僕の場合はNICをUSBで接続していたのでconfigの書き換えが必要なようです。
interface編集
configといえばconfig.iniを編集したばかりなのでここに何かあるかとおもったらあった。
config.iniでinterface = {対象のNIC}
起動チャレンジ
sudo systemctl start arkimecapture
sudo systemctl status arkimecapture
runningならヨシ!
ファイルインポート機能の起動をやめる
arkime-importの自動起動停止sudo systemctl stop arkime-import
sudo systemctl disable arkime-import
再起動してsudo systemctl status arkime-import
で確認
以上!
コメントを残す