eCapture 安装与使用教程

1. 项目介绍

eCapture 是一个强大的数据捕获工具，它基于 eBPF (Extended Berkeley Packet Filter) 技术，允许你在无需安装 CA 证书的情况下捕获 HTTPS 和 TLS 的明文通信。该工具同样适用于 bash 命令审计和 MySQL/MariaDB 数据库查询的记录。eCapture 支持多种操作系统，并且拥有简单易懂的命令行选项，使得配置和使用变得简单。

2. 项目快速启动

安装 Docker（可选）

如果你的系统未安装 Docker，可以参考以下步骤：

# 更新包列表
sudo apt-get update
# 安装 Docker CE
sudo apt-get install docker-ce docker-ce-cli containerd.io
# 验证 Docker 是否正确安装
docker run hello-world

获取 eCapture Docker 镜像

下载最新的 eCapture Docker 镜像：

docker pull gojue/ecapture:latest

运行 eCapture Docker 容器

使用以下命令运行 eCapture，确保替换 $HOST_PATH 为你的本地主机路径，$CONTAINER_PATH 为目标目录：

docker run --rm --privileged=true --net=host -v $HOST_PATH:$CONTAINER_PATH gojue/ecapture ARGS

ARGS 是 eCapture 的命令行参数，例如：

docker run --rm --privileged=true --net=host -v /tmp:/data gojue/ecapture --debug --pid=1234

这将会以调试模式运行，针对 PID 为 1234 的进程进行数据捕获。

或者，手动编译与安装（不使用 Docker）

首先，克隆 eCapture 仓库：

git clone https://github.com/gojue/ecapture.git
cd ecapture

然后编译 eCapture：

make

最后，根据需要使用 ./ecapture 命令进行数据捕获。

3. 应用案例与最佳实践

• MySQL 审计：利用 eCapture 记录 mysqld 进程，你可以查看所有进出 MySQL 服务器的 SQL 查询。
• Web 服务流量记录：捕获 HTTPs 流量，分析网站访问模式，识别潜在的安全问题。
• 内部网络行为分析：记录内部网络通信，发现异常流量和潜在的问题活动。
• 命令行历史记录：跟踪 bash 命令历史，有助于系统管理或合规审计。

为了达到最佳效果，请确保你具备足够的权限（如 root 权限），并且已启用 BTF (BPF Type Format)。

4. 典型生态项目

eCapture 与其他生态项目的整合可以增强其功能，以下是一些典型的组合：

• Wireshark：结合 Wireshark 解析 eCapture 输出的数据包，进行深度分析和可视化。
• Logstash/Elasticsearch/Kibana (ELK Stack)：将 eCapture 的日志数据输入 Logstash，再存入 Elasticsearch，通过 Kibana 进行实时数据可视化和报警设置。

通过这些组合，你可以构建一套完整的网络记录和日志分析系统。

---

注意：请根据你的具体环境调整上述命令和步骤。如果遇到问题，建议查阅官方文档或社区资源。