Zeek使用手册翻译——集群架构

最新推荐文章于 2024-06-06 09:58:49 发布
最新推荐文章于 2024-06-06 09:58:49 发布
阅读量1.6k 收藏
点赞数
分类专栏: 流量监测 网络安全
原文链接:https://docs.zeek.org/en/stable/cluster/index.html#architecture
版权

Zeek不是多线程的,因此,一旦达到单个处理器内核的限制,当前唯一的选择就是将工作负载分散到许多内核甚至许多物理计算机上。 Zeek的集群部署方案是构建这些较大系统的当前解决方案。 Zeek附带的工具和脚本提供了一种结构,可以轻松地管理许多Zeek进程,以检查数据包并进行关联活动,但它们充当的是一个单一的,具有凝聚力的实体。 本文档介绍Zeek群集体系结构。 有关如何配置Zeek群集的信息,请参阅ZeekControl文档。

0x01结构

../_images/deployment.png

分路器
分路器是一种机制,用于拆分数据包流,以使副本可用于检查。示例包括交换机上的监视端口和光纤网络上的光分路器。

前端
前端是一种离散的硬件设备或主机技术,可将流量分为许多流或流。 Zeek二进制文件不执行此工作。有多种方法可以完成此任务,下面的“前端选项”中介绍了其中的一些方法。

管理器
管理区是一个Zeek流程,有两个主要任务。它使用Zeek通信协议从群集的其余节点接收日志消息和通知(请注意,如果使用单独的记录器节点,则记录器将接收所有日志,而不是管理器)。结果是单个日志,而不是必须以某种方式与后期处理结合的许多离散日志。管理器还支持其他功能和分析,这些功能和分析需要事件或数据的集中全局视图。

记录仪
记录器是一个可选的Zeek进程,它使用Zeek通信协议从群集中其余节点接收日志消息。让记录器代替管理器接收日志的目的是减轻管理器的负担。如果不需要记录器,则管理器将改为接收日志。

代理

最低0.47元/天 解锁文章
世上无难事,只要肯放弃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最强网络流量分析利器 Zeek 框架简介
jim_jb1973的专栏
12-14 4550
强大的网络流量分析工具 ZEEK
Zeek使用手册翻译——介绍部分
weixin_40138844的博客
11-29 3191
介绍0x00总览 Zeek是一个被动的开源网络流量分析器。 它是一种网络监视器,可以深入检查连接中所有流量以查找可疑活动的迹象。 但是,通常,Zeek甚至在安全领域之外也支持各种流量分析任务,包括性能测量和帮助进行故障排除。 一个网站从Zeek部署中获得的最直接的好处是大量日志文件。这些日志文件以高级的方式记录了网络的活动。 这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用层记录,例如...
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing Network Scanner Traffic Lab 5: Generating, Capturing and Analyzing DoS and DDoS-centric Network Traffic Lab 6: Introduction to Zeek Scripting Lab 7: Introduction to Zeek Signatures Lab 8: Advanced Zeek Scripting for Anomaly and Malicious Event Detection Lab 9: Profiling and Performance Metrics of Zeek Lab 10: Application of the Zeek IDS for Real-Time Network Protection Lab 11: Preprocessing of Zeek Output Logs for Machine Learning Lab 12: Developing Machine Learning Classifiers for Anomaly Inference and Classification
探索网络安全的强大力量:Zeek 网络安全监控框架
gitblog_00062的博客
06-06 431
探索网络安全的强大力量:Zeek 网络安全监控框架 项目地址:https://gitcode.com/bro/bro 1、项目介绍 Zeek(前身为Bro)是一个开源的网络流量分析和安全监控框架,它能够为你的网络提供深入的分析和强大的安全保障。其设计目标是让网络监控变得更为高效、灵活,并适应各种复杂的网络环境。 2、项目技术分析 Zeek以其独特的协议解析能力和高度状态化的分析机制脱颖而出。它内置...
zeek集群简述
zz2230633069的博客
02-03 744
zeek集群简述
【开源】Zeek手册翻译之一: 快速开始向导
roshy的专栏
04-16 4417
Bro log日志 处理网络协议分析的日志通常是这样开始的:时间戳、唯一连接标识符(uid)和连接4元组(发起方主机/端口和响应方主机/端口)。uid可用于标识与给定连接4元组在其生存期内关联的所有记录的活动(可能跨多个日志文件)。 然后,协议特定日志的其余列将详细说明正在发生的与协议相关的活动。例如,http.log接下来的几列(简写)显示了对bro网站根目录的请求: # method ...
zeek操作笔记
BGK112358的专栏
01-06 564
zeek二开笔记
Zeek-Network-Security-Monitor:Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制
05-22
Zeek网络安全监视器教程 Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制。 第1课:设置 在本课程中,我们设置了基本的Ubuntu计算机,该计算机直接连接到廉价的水龙头,而水龙头则连接到家庭路由器。 如果您没有现有的零件,我已提供了可以购买的产品,但是请随时使用您选择的任何网络接头和/或您选择的任何其他以太网适配器或电缆。 ->单击以阅读有关Medium的文章。 第2课:alert-all-notices.zeek 在本课程中,除了向您发送电子邮件之外,我们还通过记录Zeek认为值得您注意的所有通知来创建notice.log文件,该警报是Zeek值得您注意的。 ->单击以阅读有关Medium的文章。 第3课:conn.log 在本课程中,我们将显示源IP地址和端
docker-zeek:Zeek IDS Dockerfile
05-06
网络安全监视器Dockerfile 目录执照 依存关系高山:3.12 图片标签$ docker imagesREPOSITORY TAG SIZEblacktop/zeek latest 41.6MBblacktop/zeek 3.2 41.6MBblacktop/zeek 3.1 39MBblacktop/zeek 3.0 39MBblacktop/...
zat:Zeek分析工具(ZAT):使用Pandas,scikit-learn和Spark处理和分析Zeek网络数据
02-03
Zeek分析工具(ZAT) ZAT Python软件包支持使用Pandas,scikit-learn和Spark处理和分析Zeek数据安装$ pip install zat入门在Raspberry Pi上安装!最近的改进大日志文件的更快/更小熊猫的数据帧:更好的熊猫数据框到...
Zeek-Intelligence-Feeds:Zeek格式的威胁情报源
02-12
带组合指示灯的Zeek英特尔威胁源 这是基于“公共威胁源”和“关键路径安全”收集的数据的公共源。 此提要将尽可能频繁地更新。 入门 这些说明将使您可以启动并运行项目。 依存关系 ZEEK 3.0或更高 正在安装 安装Zeek...
zeekctl:用于管理Zeek部署的工具
05-06
ZeekControl .. rst-class:: opening This document summarizes installation and use of *ZeekControl*, a tool for operating Zeek installations. *ZeekControl* has two modes of operation: a *stand-alone* mode for managing a traditional, single-system Zeek setup; and a *cluster* mode for maintaining a multi-system setup of coordinated Zeek instances load-balancing the work across
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
Zeek网络安全监视器 网络流量分析和安全监控的框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用
zeek-quic:可检测Google QUIC协议的Bro分析仪
05-07
适用于Zeek的Google QUIC分析器/检测器 该分析器可以使用以下描述的有线格式来解析和检测QUIC的Google实现(此处为简单起见,此处称为GQUIC): 。 Chrome在编写此分析器时使用的GQUIC版本是Q039,某些Google服务器(可能还有Chrome Canary版本)也可以使用Q043。 该分析仪能够在测试期间检测到这两个版本。 当时(2018年5月4-5日)GQUIC文档中描述的有线格式也似乎与野外使用的实际实现不同步。 此外,似乎有定期的工作来迁移GQUIC,以跟踪QUIC的IETF标准草案,其描述如下: 由于该草案与GQUIC实施方案有很大不同,因此对该分析仪进行了测试,并且最近还更改了其接线格式。 总而言之,如果将来不对GQUIC分析仪进行更新,则不会继续使用QUIC协议的后续版本。 安装 通过 : zkg install corelig
zeek入门
随便记记笔记
11-25 2067
zeek入门 安装及手册 参考:https://software.opensuse.org//download.html?project=security%3Azeek&package=zeek 建议选择添加软件源并手动安装 zeek通过apt(ubuntu软件包管理器)默认安装在/opt/zeek/目录,且不会添加进path,需要手动添加export PATH=$PATH:/opt/zeek/bin/ 手册:https://docs.zeek.org/en/current/ 简介 zeek:完全可
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 5197
本文档记录流量分析工具 zeek 的安装过程以及如何使用它来分析 pcap 流量文件
zeek学习(五)—— 会话建立
成长之路
08-14 721
zeek 会话建立
网络入侵检测系统zeek单机部署
Cheney_My的博客
07-29 1843
#创建data目录,以下操作都在data目录进行 mkdir /data #安装libmaxminddb插件 yum -y install install autoconf automake libtool git git clone --recursive https://github.com/maxmind/libmaxminddb cd libmaxminddb ./bootstrap ./configure make make check make install ldconfig #安装zeek
zeek部署安装
zz2230633069的博客
01-19 7613
一、安装依赖 RPM/基于RedHat的Linux(CentOS7是这个版本): sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel DEB/基于Debian的 Linux: sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python
在网络监控中,Wireshark和Zeek如何配合使用?
最新发布
07-16
Wireshark和Zeek在网络监控中通常作为互补工具使用,它们可以协同工作来提供深入的网络分析。 Wireshark是一个广泛使用的网络协议分析器,它允许用户捕获、查看和分析实时数据包,用于故障排除、安全审计以及网络性能测试。Wireshark以图形界面展示网络流量,对网络通信进行详细的逐包解析,适合于基本的网络抓包和快速定位问题。 相比之下,Zeek(前身为Bro)是一种专门设计用于网络取证和日志分析的工具,它通过脚本语言处理网络数据,可以进行更高级的统计分析、异常检测和威胁识别。Zeek能够生成结构化的日志,并支持定制规则集,帮助系统管理员发现潜在的安全威胁和非正常行为。 两者结合的方式通常是先由Wireshark收集原始网络数据,然后将这些数据传递给Zeek进行进一步的分析。例如,Wireshark可以捕获到的数据包,随后通过 Zeek 进行深度挖掘,提取有用信息并生成报告。这种配合有助于提高网络监控的效率和深度,尤其是对于需要长期监控和复杂分析的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值