Arkime,全称为“Enhanced Log File Viewer”,是一款强大的网络取证和日志分析工具,它允许用户实时监控、记录和回放网络流量。在安装Arkime的过程中,有两份特定的配置文件至关重要,即`oui.txt`和`ipv4-address-space.csv`。这两份文件各自承载着不同的功能和信息,对于Arkime的正常运行和优化分析起到了关键作用。 我们来看`oui.txt`文件。这个文件源自开放网络接口(OUI)数据库,由电气和电子工程师协会(IEEE)维护。OUI是设备制造商分配的唯一标识符,用于识别网络设备,如网卡、路由器等。`oui.txt`包含了所有已知制造商的OUI列表,每个OUI与其对应的制造商名称相对应。在Arkime中,这个文件用于解析和标记网络流量中的MAC地址,帮助识别数据包的来源。通过匹配MAC地址到对应的制造商, Arkime可以提供更详细和直观的网络活动分析,这对于故障排查、安全审计和流量监控非常有用。 接下来是`ipv4-address-space.csv`文件。这个文件包含了IPv4地址空间的信息,列出了所有已分配的IPv4地址块及其对应的组织或国家。在Arkime中,此文件用于地理定位和组织归属的上下文信息。通过与数据包的IP地址进行比对,Arkime可以显示流量的地理分布,帮助分析者理解网络流量模式,识别可能的异常流量或潜在的安全威胁。此外,这也有助于合规性和隐私检查,特别是对于需要遵守不同地区数据保护法规的组织。 在安装和配置Arkime时,确保这些文件是最新的和完整的至关重要。对于`oui.txt`,用户可以定期从IEEE官方网站下载更新版,以保持MAC地址数据库的准确性。而`ipv4-address-space.csv`文件通常需要从权威的数据源(如RIPE NCC或ICANN)获取,以保证IP地址分配信息的时效性。 在实际应用中,用户可能还需要根据具体需求自定义 Arkime 的配置,比如设置过滤规则、调整日志存储策略、配置报警机制等。正确理解和利用`oui.txt`和`ipv4-address-space.csv`,可以显著提升Arkime在网络安全监控和事件响应中的效能,使其成为一款强大且实用的工具。
2024-07-08 17:04:16 623KB oui.txt
1
安装arkime需要的GEO数据配置文件.tar.gz
2021-10-22 21:00:08 568KB arkime
1
阿基米 Arkime(以前称为Moloch)是一个大型的,开源的,索引化的数据包捕获和搜索系统。 Arkime增强了您当前的安全基础架构,以标准PCAP格式存储和索引网络流量,从而提供了快速的索引访问。 提供了直观,简单的Web界面,用于PCAP浏览,搜索和导出。 Arkime公开了API,这些API允许直接下载和使用PCAP数据和JSON格式的会话数据。 Arkime以标准PCAP格式存储和导出所有数据包,使您还可以在分析工作流程中使用自己喜欢的PCAP提取工具,例如Wireshark。 Arkime构建为可以跨许多系统部署,并且可以扩展以处理数十吉比特/秒的流量。 PCAP保留时间取决于可用的传感器磁盘空间。 元数据保留基于Elasticsearch集群规模。 两者都可以随时增加,并且完全由您控制。 目录 背景 Arkime的创建是为了替代AOL于2012年的商用全包系统。通过完全控制硬件和成本,我们发现我们可以在所有网络上部署全包捕获,而使用商用工具只需一个网络即可获得相同的成本。 Arkime系统由3个组件组成: 捕获-一个线程化的C应用程序,用于监视网络流量,将PCA
2021-09-16 15:56:00 3.56MB javascript c security big-data
1