ARKIME

Arkime(이전이름 Moloch)는 대규모 ipv4캡쳐 도구이다. pcap포맷으로 모든 네트워크 트래픽을 저장하고 Elasticsearch와 웹 인터페이스를 제공하여 쉽게 캡쳐 정보를 조회할 수 있다. 대규모 환경에 알맞게 Arkime 클러스터를 구성할 수도 있고 A

Arkime 설치 Arkime에서 제공하는 아키텍쳐이다. 하나의 네트워크에 ES, 서버머신, 프록시 등이 동작하는 형태이다. 여기서는 조금 간략하게 구성해본다. 위 아키텍쳐와 다른점은 viewer 프로세스는 하나의 서버에서만 돌도록 하여 viewer 웹페이지를 하나

Arkime는 대규모 네트워크 관제에 최적화된 오픈소스이다. 지정한 네트워크 인터페이스의 모든 네트워크 트래픽을 탐지하는데 내부 서버들끼리 통신하는 패킷도 탐지해버려서 쓸데없이 PCAP의 용량이 커지고, Elasticsearch의 성능에도 영향을 미친다. 따라서 쓸데없