关于Traceeshark

Traceeshark是一款基于Wireshark的Linux运行时安全监控工具，该工具可以帮助广大研究人员执行Linux 运行时安全监控和高级系统跟踪。

功能介绍

该工具可以利用社区熟悉且无处不在的网络分析工具Wireshark来实现Linux系统安全监控。通过Traceeshark，我们可以将JSON 格式的Tracee捕获加载到 Wireshark 中，并使用 Wireshark 的高级显示和过滤功能对其进行分析。

Traceeshark 还提供与 Tracee 生成的网络数据包并排分析系统事件的功能，这些数据包包含有关其所属的系统进程和容器的丰富上下文。

Traceeshark 的另一个功能是能够使用 Tracee 直接从 Wireshark 捕获事件，并让它们像网络捕获一样流入。这可以在运行 Wireshark 的 Linux 机器上本地完成，也可以在 Windows 和 Mac 上使用 docker 桌面的 VM 半本地完成，甚至可以使用 SSH 远程完成。

工具要求

Python 3

工具安装

首先，确保您已安装 Python 3，并且你的 Wireshark 安装已更新到最新版本。

然后，只需运行以下命令即可。

Windows（PowerShell）

$outFile = [System.IO.Path]::GetTempFileName() ; Invoke-WebRequest -Uri "https://raw.githubusercontent.com/aquasecurity/traceeshark/main/autoinstall.py" -OutFile $outFile ; python.exe $outFile ; rm $outFile

Linux/Mac

outfile=$(mktemp) && curl -s "https://raw.githubusercontent.com/aquasecurity/traceeshark/main/autoinstall.py" > $outfile && python3 $outfile && rm $outfile

请注意，Traceeshark 是针对特定 Wireshark 版本编译的。如果您使用的 Linux 发行版带有过时的 Wireshark 软件包，则 Traceeshark 的预构建版本可能无法使用。Ubuntu 22.04 和 24.04 有专门针对其 Wireshark 软件包版本的版本。

实时捕捉设置

要使用实时捕获，必须安装 Python 3 并将其置于 PATH 中，并且必须安装一些库：

pip3 install paramiko msgpack python-pcapng

在 Linux 上，将你的用户添加到 docker 组：

sudo usermod -aG docker <user>

在 Windows 和 Mac 上，确保已安装 docker Desktop 并且你的用户可以运行容器。

工具使用

首次使用 Traceeshark 时，应应用 Tracee 配置文件。该配置文件定义了自定义列视图、事件颜色和一些快速过滤按钮。转到编辑 -> 配置文件...并选择Tracee 配置文件。

此后，任何包含 JSON 格式的 Tracee 事件的文件都可以加载到 Wireshark 中，或者可以使用实时捕获功能直接从 Wireshark 捕获 Tracee 事件。

工具运行演示

许可证协议

本项目的开发与发布遵循GPL-2.0开源许可协议。

项目地址

Traceeshark：【GitHub传送门】

参考资料

https://github.com/aquasecurity/tracee