Zeek使用手册翻译——介绍部分

最新推荐文章于 2024-05-11 13:16:09 发布
最新推荐文章于 2024-05-11 13:16:09 发布
阅读量3.1k 收藏
点赞数
分类专栏: 网络安全 流量监测
原文链接:https://docs.zeek.org/en/stable/intro/index.html
版权

介绍
0x00总览
Zeek是一个被动的开源网络流量分析器。 它是一种网络监视器,可以深入检查连接中所有流量以查找可疑活动的迹象。 但是,通常,Zeek甚至在安全领域之外也支持各种流量分析任务,包括性能测量和帮助进行故障排除。

一个网站从Zeek部署中获得的最直接的好处是大量日志文件。这些日志文件以高级的方式记录了网络的活动。 这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应; 带回复的DNS请求; SSL证书; SMTP会话的关键内容, 以及更多内容。 默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后续处理。 但是,用户还可以从输出格式和后端中进行选择,以直接与例如外部数据库进行交互。

但是,使用Zeek的关键在于认识到,即使该系统自身就有的强大功能,从根本上来说,它还是一个可完全自定义和扩展的流量分析平台:Zeek为用户提供了特定于域的脚本语言编写脚本用于表达任意分析任务的。 从概念上讲,您可以将Zeek视为“特定于域的Python”(或Perl):就像Python一样,该系统具有大量的预构建功能(“标准库”)。您不仅限于 系统附带的功能,但是可以通过编写自己的代码使Zeek以新颖的方式使用。 实际上,Zeek的所有默认分析(包括所有日志记录)都是此类脚本的结果。 没有指定到系统核心中的特定分析。

Zeek在商品硬件上运行,因此提供了昂贵的专有解决方案的低成本替代方案。 尽管价格昂贵,但是Zeek实际上远远超出

最低0.47元/天 解锁文章
世上无难事,只要肯放弃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【开源】Zeek手册翻译之一: 快速开始向导
roshy的专栏
04-16 4410
Bro log日志 处理网络协议分析的日志通常是这样开始的:时间戳、唯一连接标识符(uid)和连接4元组(发起方主机/端口和响应方主机/端口)。uid可用于标识与给定连接4元组在其生存期内关联的所有记录的活动(可能跨多个日志文件)。 然后,协议特定日志的其余列将详细说明正在发生的与协议相关的活动。例如,http.log接下来的几列(简写)显示了对bro网站根目录的请求: # method ...
zeek脚本语言编写入门
随便记记笔记
11-29 2122
其实大部分都是文档翻译的(也许是全部)
2024年最全zeek学习(三)——包获取_zeek pktdumper,【深夜思考】
最新发布
2401_84904355的博客
05-11 882
所有分析器都派生自类Analyzer。我们将 分析器树与每个连接相关联,它反映了数据包分析期间的数据流,分析器根据哪些分析器执行其分析。每个数据包首先被传递到树的根节点,该根节点将其(可能转换的)输入传递给它的所有子节点。每个孩子依次将数据传递给其继任者。根节点必须始终是类型。例如TCPUDP和ICMP分析器。应用层分析器要么派生自(对于TCP 协议),要么派生自通用Analyzer类(对于所有非TCP 协议)。当连接开始时,初始分析器树由全局实例化。初始树始终包含相应的。
zeek学习笔记(一) —— 环境搭建
成长之路
08-14 1788
zeek环境搭建
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 4940
文档记录流量分析工具 zeek 的安装过程以及如何使用它来分析 pcap 流量文件
zeek操作笔记
BGK112358的专栏
01-06 549
zeek二开笔记
【开源】Zeek编程之:日志添加自定义字段
roshy的专栏
04-22 1104
转载,可参照文中叙述方法对日志字段扩展添加自己想要的内容,比如本采集器IP等 添加自定字段,如human_readable time字段: FILE $bro/share/bro/base/protocols/http/human_time_http.bro @load base/protocols/http module HTTP; export { redef record I...
使用zeek做HTTP RPC性能检测
robinfoxnan的专栏
07-28 940
*需求**我的需求是在K8S的云上添加自己的非侵入式采集工具,并检测各种后端的RPC性能,比如http_rpc,grpc,mysql,redis,mongodb,以及自定义的rpc等网络交互过程的性能;**解决方案**直接在zeek现有基础上开发脚本,并开发日志读写工具将结果转存到自己的后端;这样就基本实现了我们的需求,后续的工作只是需要扩展各种协议,以及从日志流提取数据;首先,参考HTTP的相关脚本,记录自己需要的数据,写个hello,world。1)讲解了事件与事件队列的原理。...
Zeek安装指南及实验
Coco_T的博客
04-09 3309
zeek-lts from security:zeek project
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing ...
docker-zeek:Zeek IDS Dockerfile
05-06
网络安全监视器Dockerfile 目录执照 依存关系高山:3.12 图片标签$ docker imagesREPOSITORY TAG SIZEblacktop/zeek latest 41.6MBblacktop/zeek 3.2 41.6MBblacktop/zeek 3.1 39MBblacktop/zeek 3.0 39MBblacktop/...
Zeek-Network-Security-Monitor:Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制
05-22
Zeek网络安全监视器教程 Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制。 第1课:设置 在本课程中,我们设置了基本的Ubuntu计算机,该计算机直接连接到廉价的水龙头,而水龙头则连接到家庭路由器。 如果您没有现有的零件,我已提供了可以购买的产品,但是请随时使用您选择的任何网络接头和/或您选择的任何其他以太网适配器或电缆。 ->单击以阅读有关Medium的文章。 第2课:alert-all-notices.zeek 在本课程中,除了向您发送电子邮件之外,我们还通过记录Zeek认为值得您注意的所有通知来创建notice.log文件,该警报是Zeek值得您注意的。 ->单击以阅读有关Medium的文章。 第3课:conn.log 在本课程中,我们将显示源IP地址和端
Zeek是一个功能强大的网络分析框架,与您可能知道的典型IDS有很大不同。-C/C++开发
05-26
Zeek网络安全监控器一个强大的框架,用于网络流量分析和安全监控。 主要功能-文档-入门-开发-许可在Twitter上@zeekurity上关注我们。 Zeek网络安全监控器一个强大的框架,用于网络流量分析和安全监控。 主要功能-文档-入门-开发-许可在Twitter上@zeekurity上关注我们。 关键特性深入分析Zeek随附了许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不是
zat:Zeek分析工具(ZAT):使用Pandas,scikit-learn和Spark处理和分析Zeek网络数据
02-03
最近的改进大日志文件的更快/更小熊猫的数据帧:更好的熊猫数据框到矩阵(ndarray)支持:数据从Zeek日志到Parquet的可扩展转换: 大大改进了Spark Dataframe类:从 更新/改进的笔记本:影片介绍为什么要ZAT? Zeek...
Zeek-Intelligence-Feeds:Zeek格式的威胁情报源
02-12
带组合指示灯的Zeek英特尔威胁源 这是基于“公共威胁源”和“关键路径安全”收集的数据的公共源。 此提要将尽可能频繁地更新。 入门 这些说明将使您可以启动并运行项目。 依存关系 ZEEK 3.0或更高 正在安装 安装Zeek...
高效且开源的网络安全工具推荐!
瓦罗兰特顶级C位的博客
06-20 358
在任何工作中,学会使用各种各样的工具,将会给我们的工作带来很大的帮助,在安全行业也不例外。安全行业内可使用的工具有很多,有免费的也有收费的,有监控工具、杀毒软件、数据包捕获工具等,本文为大家推荐几款高效且开源的网络安全工具,希望对你们有用。
zeek入门
随便记记笔记
11-25 2058
zeek入门 安装及手册 参考:https://software.opensuse.org//download.html?project=security%3Azeek&package=zeek 建议选择添加软件源并手动安装 zeek通过apt(ubuntu软件包管理器)默认安装在/opt/zeek/目录,且不会添加进path,需要手动添加export PATH=$PATH:/opt/zeek/bin/ 手册:https://docs.zeek.org/en/current/ 简介 zeek:完全可
最强网络流量分析利器 Zeek 框架简介
jim_jb1973的专栏
12-14 4449
强大的网络流量分析工具 ZEEK
Zeek使用手册翻译——集群架构
weixin_40138844的博客
11-29 1625
Zeek不是多线程的,因此,一旦达到单个处理器内核的限制,当前唯一的选择就是将工作负载分散到许多内核甚至许多物理计算机上。 Zeek的集群部署方案是构建这些较大系统的当前解决方案。 Zeek附带的工具和脚本提供了一种结构,可以轻松地管理许多Zeek进程,以检查数据包并进行关联活动,但它们充当的是一个单一的,具有凝聚力的实体。 本文档介绍Zeek群集体系结构。 有关如何配置Zeek群集的信息,请参阅...
zeek3.0.1配置文件
08-17
Zeek 3.0.1 的配置文件位于 `zeek.cfg` 文件中。你可以使用任何文本编辑器打开该文件进行配置。以下是一个示例配置文件的基本结构: ```shell # Zeek 3.0.1 配置文件 # 定义 Zeek 脚本的加载路径 @load ./path/to/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值