Arkime：开源网络分析和数据包捕获系统

Arkime是一个用于大规模网络分析和数据包捕获的开源系统。它与您现有的安全工具配合使用，以标准PCAP格式存储和索引网络流量，使其易于搜索和访问。

该解决方案包括一个简单的网页界面，用于浏览、搜索和导出PCAP文件。Arkime还提供API，用于下载JSON格式的PCAP数据和会话数据。由于Arkime使用标准的PCAP文件，您可以使用其他工具（如Wireshark）分析数据。

该系统有三个主要部分：

• 捕获——一个C应用程序，用于监控网络流量，将PCAP文件写入磁盘，解析捕获的数据包，并将元数据（SPI数据）发送到OpenSearch或Elasticsearch。
• 查看器——在每个捕获机器上运行的Node.js应用程序。它管理网页界面并将数据包发送到浏览器。
• OpenSearch/Elasticsearch – Arkime使用的搜索数据库。

Arkime还包括可选工具：

• Cont3xt：帮助收集上下文情报，以支持调查。
• EsProxy：在捕获和OpenSearch或Elasticsearch之间添加一个额外的安全层。
• 议会：监控并提供对多个Arkime集群的访问。
• WiseService：将威胁情报集成到会话元数据中。

Arkime可以部署在许多系统上，并扩展以处理每秒数十千兆位的流量。PCAP保留取决于传感器上的可用磁盘空间。元数据保留取决于您的Elasticsearch集群的大小。两者都可以随时扩展，并且完全在您的控制之下。

Arkime在GitHub上免费提供。

原文链接地址：https://www.helpnetsecurity.com/2025/09/15/arkime-open-source-network-analysis-packet-capture-system/