Zeek 网络流量分析和安全监控框架-搭建教程

于 2024-07-25 14:45:37 发布
阅读量358 收藏 7
点赞数 4
文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gyingxm/article/details/140689871
版权

一、进入Zeek官网下载

https://github.com/zeek/zeek/wiki/Binary-Packages  选择下载Linux Binaries

Install package security:zeek / zeek-lts  选择添加软件源并手动安装,指的是复制命令行执行。

下面的命行永远安装最新的LTS版本的zeek,对应的系统版本是CenTOS7

cd /etc/yum.repos.d/
wget https://download.opensuse.org/repositories/security:zeek/CentOS_7/security:zeek.repo
yum install zeek
#,查看安装的版本
zeek --version

二、使用

使用前的修改。安装好了之后使用whereis zeek,会显示出安装之后的路径,我的安装路径是自动安装在/opt/zeek

1. 在 /opt/zeek/etc/node.cfg 文件中, 设置监测设备的正确接口interface。设置要监视的正确网卡,我的网卡是ens33

2. 在/opt/zeek/etc/networks.cfg 文件中,注释掉默认设置,然后添加监测环境的本地网络。

3. 在 /opt/zeek/etc/zeekctl.cfg 文件中,修改 MailTo 邮件地址成期望的收件人以及修改 LogRotationInterval 成期望的日志归档频率(这一条的修改是可选的)。

启动终端

zeekctl

初始化安装

[ZeekControl] > install

启动Zeek实例

[ZeekControl] > start

如果尝试启动Zeek实例时遇到了错误,你可以使用 diag 命令查看细节。如果启动成功,Zeek实例就会开始根据默认策略分析流量,然后输出结果到 $PREFIX/logs(即/opt/zeek/logs)文件夹中。

启动之后它就会一直运行下去,如果想停止Zeek实例,可以命令:

[ZeekControl] > stop

三、遇到的问题

原因是安装zeek的时候,并没有将bin目录放到环境中。解决方法就是将/opt/zeek/bin路径放在环境中

1.export PATH=$PATH:/opt/zeek/bin 

# 添加环境变量:在~/.bashrc文件中添加下面一行,如果是用户目录下的则 用户局限:仅对当前用户。如果是切换到root用户下面的则 用户局限:对所有用户。所以我选择的后者,便于普通用户使用。

2.source ~/.bashrc

# 生效

3.echo $PATH

# 打印环境变量中的路径,如果zeek地址在出现则添加成功

4.sudo chmod -R 777 /opt/zeek/

# 如果不是root用户,则zeek文件夹的操作权限需要给用户

小胖纸儿
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
流量监控分析工具-ZEEK
single7_的博客
05-01 2524
0x01 About ZEEK 0x01a 什么是zeek Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。 新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应,带回复的DNS请求,SSL证书,SMTP会话的关键内容
最强网络流量分析利器 Zeek 框架简介
jim_jb1973的专栏
12-14 4693
强大的网络流量分析工具 ZEEK
Zeek-Network-Security-Monitor:Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制
05-22
Zeek网络安全监视器教程 Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制。 第1课:设置 在本课程中,我们设置了基本的Ubuntu计算机,该计算机直接连接到廉价的水龙头,而水龙头则连接到家庭路由器。 如果您没有现有的零件,我已提供了可以购买的产品,但是请随时使用您选择的任何网络接头和/或您选择的任何其他以太网适配器或电缆。 ->单击以阅读有关Medium的文章。 第2课:alert-all-notices.zeek 在本课程中,除了向您发送电子邮件之外,我们还通过记录Zeek认为值得您注意的所有通知来创建notice.log文件,该警报是Zeek值得您注意的。 ->单击以阅读有关Medium的文章。 第3课:conn.log 在本课程中,我们将显示源IP地址和端
网络安全从业人员必知的Zeek工具(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-09 1367
Zeek是一种开放源码的网络分析框架,最初由Vern Paxson于1995年开发。它能够高效地解析网络流量,提取丰富的上下文信息,并生成详细的日志文件供后续分析使用。Zeek不仅仅是一个入侵检测系统(IDS),它更像是一个平台,允许用户编写脚本来扩展其功能,从而适应不同的安全需求。
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 5588
本文档记录流量分析工具 zeek 的安装过程以及如何使用它来分析 pcap 流量文件
zeek:一款流量分析探针
猪肉炖白菜
09-25 1518
关于Zeek日志文件的介绍,方便你了解zeekZeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。.........
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
Zeek网络安全监视器 网络流量分析安全监控框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek教程以及许多其他有用
探索网络分析新境界:Zeek网络安全框架
gitblog_00086的博客
03-20 502
探索网络分析新境界:Zeek网络安全框架 项目地址:https://gitcode.com/zeek/zeek Zeek 是一个开源的网络安全分析框架,以其强大的网络流量解析和事件检测能力而闻名。本文将带你深入了解Zeek的核心特性、技术分析及应用场景,帮助你发现其潜力并将其应用到实际工作中。 项目简介 Zeek(原名Bro)是一个由学术界与业界合作开发的网络监控系统。它设计的目标是提供一种有效且...
Zeek实战—快速构建流量安全能力
lpx1249115962的博客
02-15 949
使用大数据分析可以对网络流量进行多维度的侧写,识别正常或异常的网络行为,提升网络安全人员识别风险的能力。更进一步地说,通过对网络流量的充分了解、分析,可以使组织的网络安全逐渐形成态势感知的能力,从而进一步提高组织的安全水平。分析网络流量不仅能识别网络中承载的实际业务,还能够提前识别、发现网络中的恶意行为,而这些都对网络安全有着实际且重要的作用。指连接在网络中的、能够产生或消费网络流量的软/硬件系统,是网络流量在正常情况下的起点或终点。指能够决定网络流量流动方式的软/硬件系统,是是网络流量的中转点。
分享几款分析流量的工具
热门推荐
tianyake116的博客
12-14 1万+
常用流量分析工具 除非要查看非常细微的东西,一般情况下SEO人员并不会去看原始日志文件。通常网站流量分析要借助软件。 流量统计和分析软件一般分为两种。第一种是基于在页面上插入统计代码。SEO站长在需要统计的所有网页上(通常是整个网站所有页面)插进一段统计代码,一般是JavaScript代码,这段代码会自动检测访问信息,并把信息写入流量分析软件服务商数据库中。统计、分析软件运行在服务商的
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing Network Scanner Traffic Lab 5: Generating, Capturing and Analyzing DoS and DDoS-centric Network Traffic Lab 6: Introduction to Zeek Scripting Lab 7: Introduction to Zeek Signatures Lab 8: Advanced Zeek Scripting for Anomaly and Malicious Event Detection Lab 9: Profiling and Performance Metrics of Zeek Lab 10: Application of the Zeek IDS for Real-Time Network Protection Lab 11: Preprocessing of Zeek Output Logs for Machine Learning Lab 12: Developing Machine Learning Classifiers for Anomaly Inference and Classification
Malcolm:Malcolm是功能强大且易于部署的网络流量分析工具套件,用于完整的数据包捕获工件(PCAP文件)和Zeek日志
04-29
马尔科姆 是功能强大的网络流量分析工具套件,旨在满足以下目标: 易于使用– Malcolm接受完整数据包捕获(PCAP)文件和Zeek(以前称为Bro)日志的形式的网络流量数据。 这些工件可以通过基于浏览器的简单界面上传,也可以实时捕获并使用轻量级转发器转发到Malcolm。 在这两种情况下,数据都将自动归一化,丰富化和关联以进行分析。 强大的流量分析–通过两个直观的界面提供对网络通信的可见性:Kibana,一个灵活的数据可视化插件,带有数十个预先构建的仪表板,可概览网络协议; Arkime(以前称为Moloch),一种功能强大的工具,用于查找和识别包括可疑安全事件在内的网络会话。 简化的部署– Malcolm作为Docker容器的群集运行,这些隔离的沙箱分别充当系统的专用功能。 这种基于Docker的部署模型,结合一些用于设置和运行时管理的简单脚本,使得Malcolm适合在各种平
Zeek是一个功能强大的网络分析框架,与您可能知道的典型IDS有很大不同。-C/C++开发
05-26
Zeek网络安全监控器一个强大的框架,用于网络流量分析安全监控。 主要功能-文档-入门-开发-许可在Twitter上@zeekurity上关注我们。 Zeek网络安全监控器一个强大的框架,用于网络流量分析安全监控。 主要功能-...
pfSense-pkg-zeek:用于pfSense路由器的Zeek(以前为Bro)网络安全监视器软件包
01-28
用于pfSense路由器/防火墙的Zeek网络安全监视器程序包 兼容性 该软件包已在pfSense 2.4.5-RELEASE(amd64)上进行了测试。 也许它不适用于较早版本的pfSense。 安装 通过下载生成的软件包 将程序包从本地计算机复制...
网络流量分析安全监控工具介绍
通过对网络数据包进行深入分析,可以帮助网络管理员和安全专家监控、识别和解决网络中的安全隐患,提高网络安全等级,防止各类网络攻击。在本章节中,我们将介绍网络流量分析的重要性,包括网络流量分析的定义、作用...
zeek系列之:流量数据采集流量探针zeek-脚本入门
g5703129的博客
08-11 3041
zeek解析pcap流量文件 解析pcap文件 zeek -C -r /home/1.pcap json格式解析pcap文件到当前目录下 zeek -C -r /home/1.pcap LogAscii::use_json=T 注意:需要zeek运行状态下 zeek脚本 概述 概述扩展名为.zeek 默认目录:share/zeek 放在share/zeek/site的不会在升级时被覆盖或者修改 zeek生成的事件可以参考:base/bif/event.bif.zeek *.bif是z
zeek系列之:流量数据采集流量探针zeek安装部署
g5703129的博客
08-11 8899
zeek介绍 Zeek是一个被动的开源网络流量分析器。它主要是一种安全监视器,可深入检查链接上的所有流量以查找可疑活动的迹象。使用Zeek最直接的好处是生成大量日志文件。这些日志不仅包括对网络上每个连接的全面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容;以及更多。默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后处理。 另外,在名称上,3.
【2024最新版】20款经济高效的开源网络安全工具推荐_zeek 轻松实现网络安全监控(1)
2401_84297265的博客
05-13 1128
TheHive可以与其他常用安全工具和技术整合,包括恶意软件分析平台、威胁情报源和SIEM系统,以提供事件的整体视图,并实现更高效的事件响应。它利用一个基于规则的强大系统来识别所关注的数据类型(比如恶意代码),可用于扫描和分析众多类型的数据,包括可执行文件、文档和网络流量。它带有用于测试应用系统和网络安全性的众多安全工具和功能,包括用于网络映射、漏洞扫描和漏洞利用的工具。它提供众多用于自动化任务的工具和功能,比如事件筛选、威胁分析和补救,还提供了与其他安全工具和技术集成的工具和功能,具有较好的应用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小胖纸儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值