Zeek

Zeek 是一个被动的开源网络流量分析器。Zeek能够用来检测可疑或恶意活动，也能支持安全域之外的各种流量分析任务，包括性能测量和故障排除。

架构

Zeek 的架构主要分为两个主要组件：

1.事件引擎（核心）：•将入站数据包流转换为高层事件，反映网络活动但不提供背景信息。•事件引擎包含多个子组件：•输入源：接收网络流量。•数据包分析：处理低层协议（从链路层开始）。•会话分析：分析应用层协议（如 HTTP、FTP 等）。•文件分析：解剖会话中传输的文件内容。•提供插件架构，允许外部扩展功能。2.脚本解释器：•执行用 Zeek 自定义脚本语言编写的事件处理程序，表达安全策略和响应措施。•脚本可以从输入流中提取任意属性和统计信息，且支持状态保持，能够跨连接和主机边界跟踪和关联观察到的变化。•可以生成实时警报并执行外部程序，以便对攻击进行主动响应。

zeek集群

Logger

logger使用 Zeek 通信协议从集群中的其余节点接收日志消息。让 Logger 而不是 Manager 接收日志的目的是减少 Manager 的负载。如果不需要 logger，则 manager 将接收日志。

Proxy

用于卸载数据存储或任何任意工作负载。一个集群可以包含多个 proxy 节点。充当代理的 Zeek 进程往往不会对 CPU 或内存造成太大压力，并且用户经常在与管理器相同的物理主机上运行代理进程。

Worker

用于嗅探网络流量并对重组的流量流进行协议分析。活动集群的大部分工作都在 worker 上进行，因此，worker 通常代表集群中运行的大部分 Zeek 进程。

安装

在mac中，通过brew install zeek安装zeek。

安装完成后，进入zeekctl：

提示文件夹不存在，创建文件夹：

还是报错，通过diag查看具体报错信息：

no such device，用了不存在的网卡eth0，通过ifconfig查看，需要将网卡改为en0.

直接用-i命令指定网卡：

成功。如果想在zeekctl中修改，就需要改配置文件，node.cfg文件的位置根据不同的安装方式可能有所差异，直接find找一下文件：

在zeek下，修改interface：

修改完之后，zeekctl stop，再deploy重启：

zeekctl status可以看到已经是running状态。

原文始发于微信公众号（Crush Sec）：Zeek0x01_Zeek介绍&安装