Zeek 开源项目安装与使用指南

于 2024-09-01 07:13:11 发布
阅读量489 收藏 16
点赞数 16
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00986/article/details/141764712
版权

Zeek 开源项目安装与使用指南

ZeekPython distributed web scrapper and dynamic crawler项目地址:https://gitcode.com/gh_mirrors/zee/Zeek

1. 项目目录结构及介绍

Zeek 是一个强大的网络分析框架,其在 GitHub 上的仓库地址为:https://github.com/Diastro/Zeek.git。请注意,该链接指向的路径似乎假设了一个不同的用户名或特定分支,但基于对Zeek一般情况的理解,我们可以概括常见的开源Zeek项目的一般结构。

通常,Zeek的项目结构大致如下:

  • src: 这个目录包含了主要的源代码文件,用C++编写的,包括核心引擎和各种分析器。
  • scripts: 包含了Zeek脚本,这些是用于定义如何处理网络流量的自定义逻辑。
    • base: 基础脚本,提供了大量的标准功能和分析模块。
    • policy: 用户可以在这里放置自己的策略脚本,以适应特定的安全需求。
  • doc: 文档资料存放处,可能包含API参考、用户手册等。
  • examples: 提供了一系列示例脚本和使用案例,帮助新用户学习如何使用Zeek。
  • config: 存放配置文件模板或默认配置文件,包括local.zeekbroctl.conf等。
  • build: 编译过程中产生的文件,如果是通过Git clone下载的,这个目录在初始状态下不会存在,编译之后才会出现。
  • tests: 单元测试和集成测试脚本,用于确保项目质量。

2. 项目的启动文件介绍

在Zeek项目中,启动通常涉及到几个命令行工具或脚本,尤其是以下两个关键元素:

  • zeek: 主执行程序,负责加载配置文件和脚本,开始监听网络流量并进行分析。
  • broctl: (在较旧版本或者某些定制版中)控制脚本,用于管理Zeek服务,如启动(start)、停止(stop)、重启(restart)Zeek服务,并且可以在带有配置更改的情况下重新加载(reload)。

若使用最新版本的Zeek,可能会更依赖于直接调用zeek命令和使用配置文件来管理运行。

启动基本命令示例(简化版):

# 直接启动Zeek监听指定接口
zeek -i eth0

或对于集群环境配置和管理,会有专门的指令或配置流程。

3. 项目的配置文件介绍

Zeek的配置主要由几个文件控制,其中最关键的是位于config目录下的文件,以及可能的自定义配置文件。

  • local.zeek: 用户通常在此文件中设置自定义的配置选项,比如日志路径、监听端口、启用或禁用特定分析器等,这是最常用的个性化配置文件。

  • broctl.conf: 如果使用broctl进行管理,此文件包含服务器和节点的配置信息,比如日志级别、启动参数等。但要注意,在新版Zeek中,重点可能转向直接的zeekctl.cfg或类似的机制用于集群配置。

配置文件中,你可以设定数据输出格式、网络接口、日志保存位置等多个方面。例如,修改监听接口或日志存储路径:

# 在local.zeek中示例配置
redef Base::log_directory = "/path/to/logs";
redef Net::default_if = "eth0";

请根据实际下载的项目版本和具体文件结构调整上述路径和文件名,因为不同版本或分支的Zeek项目可能会有所变化。在实际操作前,务必查阅最新的官方文档或仓库中的README文件获取最新指导。

ZeekPython distributed web scrapper and dynamic crawler项目地址:https://gitcode.com/gh_mirrors/zee/Zeek

滑姗珊
关注
  • 16
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Zeek-Network-Security-Monitor:Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制
05-22
Zeek网络安全监视器教程 Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制。 第1课:设置 在本课程中,我们设置了基本的Ubuntu计算机,该计算机直接连接到廉价的水龙头,而水龙头则连接到家庭路由器。 如果您没有现有的零件,我已提供了可以购买的产品,但是请随时使用您选择的任何网络接头和/或您选择的任何其他以太网适配器或电缆。 ->单击以阅读有关Medium的文章。 第2课:alert-all-notices.zeek 在本课程中,除了向您发送电子邮件之外,我们还通过记录Zeek认为值得您注意的所有通知来创建notice.log文件,该警报是Zeek值得您注意的。 ->单击以阅读有关Medium的文章。 第3课:conn.log 在本课程中,我们将显示源IP地址和端
最强网络流量分析利器 Zeek 框架简介
jim_jb1973的专栏
12-14 4717
强大的网络流量分析工具 ZEEK
网络安全从业人员必知的Zeek工具(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-09 1431
Zeek是一种开放源码的网络分析框架,最初由Vern Paxson于1995年开发。它能够高效地解析网络流量,提取丰富的上下文信息,并生成详细的日志文件供后续分析使用。Zeek不仅仅是一个入侵检测系统(IDS),它更像是一个平台,允许用户编写脚本来扩展其功能,从而适应不同的安全需求。
zeek简述(一)
zz2230633069的博客
01-13 9601
概述 Zeek是一个开源的、被动网络流量分析软件。它主要被用作安全监测设备来检查链路上的所有流量中是否有恶意活动的痕迹。但更普遍地,Zeek支持大量安全领域外的流量分析任务,包括性能测量和帮助排查问题。 Zeek并不是传统意义上的基于特征的入侵检测系统(IDS)。 许多地方部署Zeek是为了保护它们的网络基础设施。Zeek主要关注于高速率、大流量的网络监测。 Zeek的管理框架——ZeekControl——支持开箱即用的集群配置。 图灵机:是图灵在论文中提出的数学模型。论文描述了它是什么,并且证
zeek系列之:流量数据采集流量探针zeek安装部署
g5703129的博客
08-11 8916
zeek介绍 Zeek是一个被动的开源网络流量分析器。它主要是一种安全监视器,可深入检查链接上的所有流量以查找可疑活动的迹象。使用Zeek最直接的好处是生成大量日志文件。这些日志不仅包括对网络上每个连接的全面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容;以及更多。默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后处理。 另外,在名称上,3.
使用Zeek和ELK创建企业监视 一
热门推荐
点火三周的专栏
12-05 1万+
介绍 在本系列中,我将向您展示如何利用开源技术来构建自己的网络监视解决方案,使其足以部署在任何企业环境中!我们将使用的两种核心技术是Zeek(以前称为Bro)和ELK。 其中,Zeek是一个开放源代码的网络监视框架,该框架根据网络旁路监听的数据创建警报和事件,其本质是一个IDS。它在整个行业中都有使用,尤其是在网络异常领域,实际上,英国网络安全公司Darktrace使用Zeek作为其产品的关键组件。 该解决方案的计划是利用Zeek接入我们的网络,并将日志输入Elasticsearch,借助Elasti
Android-ZeeKResume:ZeeK简历Android应用程序的源代码-Android application source code
03-25
【Android-ZeeKResume: ZeeK简历Android应用程序的源代码】 这个项目是关于一个名为ZeeKResume的Android应用程序的源代码,它提供...通过实际参与这样的开源项目,你可以学习到最佳实践,以及如何与社区协作贡献代码。
网络安全相关的密码学、网络攻防、安全分析等项目举例与概要.docx
06-14
- **OWASP(开放 Web 应用安全项目)的指南和最佳实践**:该组织提供了一系列关于 Web 应用程序安全的指南和最佳实践,对于开发人员来说是非常宝贵的资源。 - **Cybrary 提供的免费和付费的网络安全课程**:Cybrary ...
如何安装Elastic SIEM和Elastic Endpoint Security
点火三周的专栏
12-05 1万+
目录 网络设计 配置X-Pack 配置Elasticsearch SSL 配置Kibana SSL 配置Beats(Zeek)SSL 添加身份验证 向Elasticsearch添加数据 启用检测 安装Elastic EDR代理 安装证书 安装代理 结论 资源资源 最近几个月,Elastic Stack发生了很多变化,并发布了许多免费的安全工具。由Comodo和Elastic Endpoint Security发布的OpenEDR。因此,我认为现在是查看Elastic的更改并...
网络安全方向相关课题和材料
学-> 思->用
10-30 1158
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
zeek学习(五)—— 会话建立
成长之路
08-14 744
zeek 会话建立
zeek语法
zz2230633069的博客
02-07 4575
zeek语法全教程,详细讲解附带例子
Zeek分析
zz2230633069的博客
02-25 3057
使用zeek直接解析pcap包: zeek -Cr mysql_complete.pcap -e 'redef LogAscii::use_json=T;' 其中-e 'redef LogAscii::use_json=T;'表示将log文件内容以json形式输出。
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 5634
本文档记录流量分析工具 zeek安装过程以及如何使用它来分析 pcap 流量文件
zeek之部署安装
zz2230633069的博客
01-19 7873
一、安装依赖 RPM/基于RedHat的Linux(CentOS7是这个版本): sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel DEB/基于Debian的 Linux: sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python
zeek使用
weixin_47288838的博客
12-11 1150
这种错误在许多系统中会发生,因为存在一个名为“checksum offloading”的功能,但这并不会影响我们的分析。这个命令会显示捕获文件中的每个数据包的详细信息,包括源IP地址、目标IP地址、源端口、目标端口等。通过这些信息,你可以分析网络通信中的各种情况,比如了解哪些主机在通信、它们之间交换的数据包类型以及通信的协议等。它可以显示网络数据包的详细信息,如源IP地址、目标IP地址、端口号、协议类型等,并允许用户在捕获数据包的同时应用一些过滤条件来选择特定的流量进行分析。命令来显示每个日志的内容。
zeek学习(三)——包获取
成长之路
08-14 1138
zeek 包获取
zeek学习笔记(一) —— 环境搭建
成长之路
08-14 1833
zeek环境搭建
Centos7 zeek安装
07-27
要在CentOS 7上安装Zeek,您可以按照以下步骤进行操作: 1. 更新系统: ``` sudo yum update ``` 2. 安装依赖项: ``` sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel ``` 3. 下载Zeek源代码: ``` wget https://download.zeek.org/zeek-4.0.1.tar.gz ``` 4. 解压缩源代码包: ``` tar -xf zeek-4.0.1.tar.gz cd zeek-4.0.1/ ``` 5. 配置和编译Zeek: ``` ./configure make sudo make install ``` 6. 添加Zeek到系统路径中: ``` echo 'export PATH=/usr/local/zeek/bin:$PATH' >> ~/.bashrc source ~/.bashrc ``` 7. 验证Zeek是否安装成功: ``` zeek --version ``` 如果显示Zeek的版本信息,则表示安装成功。 请注意,上述步骤是基于CentOS 7的安装过程,并且假设您已经具有适当的权限来执行这些操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

滑姗珊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值