zeek入门
zeek入门
安装及手册
参考:https://software.opensuse.org//download.html?project=security%3Azeek&package=zeek
建议选择添加软件源并手动安装
zeek通过apt(ubuntu软件包管理器)默认安装在/opt/zeek/目录,且不会添加进path,需要手动添加export PATH=$PATH:/opt/zeek/bin/
手册:https://docs.zeek.org/en/current/
简介
zeek:完全可自定义可扩展的流量分析平台,专门针对高速大容量的网络监控,为了适配100GE的链路,可以使用集群。BSD许可证。
zeekcontrol是zeek的集成管理框架,是一个交互式的shell,用于管理和操作zeek
zeek的默认分析行为,包括日志记录,都是zeek脚本实现的
zeek主要用于帮助寻找恶意活动:包括语义误用检测,异常检测和行为分析
历史
1995年第一行代码;1998年发了USENIX;很多能力源于学术研究项目
结构
事件引擎(核心):把网络活动表述为事件
策略脚本解释器:事件转化成日志和通知
允许脚本在一段时间内保持状态,从而跟踪和关联跨连接的过程
zeek的两种工作模式
zeek作为命令行程序:
默认输出日志到工作目录
从接口分析实时流量:zeek -i en0 <list of scripts to load>
接口捕获数据包并写入文件:sudo tcpdump -i en0 -s 0 -w mypackets.trace
读取数据包分析:zeek -r mypackets.trace
加载脚本的默认搜索路径:
./
<prefix>/share/zeek/
<prefix>/share/zeek/policy/
<prefix>/share/zeek/site/
查看默认搜索路径:zeek --help
standalone模式
作为单一节点在后台持续运行
首次运行zeekctl需要运行zeekcontrol的安装
运行zeekctl,配置下面的文件
/etc/node.cfg:配置正确的接口,主机,结点工作方式
/etc/networks.cfg,不明白是干嘛的,将zeek认为的本地网络添加到受监视的环境中
然后运行install
启动zeek运行start
zeek的输出
日志输出:
Http.log:http协议分析日志,通常是时间戳,唯一连接标识符UID和链接四元组。
conn.log:记录网络上的每个连接,包含基本属性
notice.log:标识出zeek认为有趣的,异常的或者坏的活动。在zeek-speak称为notice
zeek会定期压缩存档日志到按日期命名的目录