Zeek 的安装与使用

---

Zeek

Zeek 官方文档

依赖安装

Zeek 需要下列的依赖才能进行运行：

• Libpcap (http://www.tcpdump.org)
• OpenSSL libraries (http://www.openssl.org)
• BIND8 library
• Libz
• Bash (for ZeekControl)
• Python 2.6 or greater (for ZeekControl)

如果想要从源码编译 zeek，下面这些附加的依赖也需要安装：

• CMake 3.0 or greater (http://www.cmake.org)
• Make
• C/C++ compiler with C++17 support (GCC 7+ or Clang 4+)
• SWIG (http://www.swig.org)
• Bison 2.5 or greater (https://www.gnu.org/software/bison/)
• Flex (lexical analyzer generator) (https://github.com/westes/flex)
• Libpcap headers (http://www.tcpdump.org)
• OpenSSL headers (http://www.openssl.org)
• zlib headers (https://zlib.net/)
• Python (https://www.python.org/)

可以通过以下的命令来安装这些依赖：

• 基于 RPM/RedHat 的 Linux 发行版:

  sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel

  在 RHEL/CentOS 6/7, 可以通过 devtoolset 来安装最新的 gcc 版本。

  sudo yum install cmake3 devtoolset-7
  scl enable devtoolset-7 bash

• 基于 DEB/Debian 的 Linux 发行版:

  sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev

  如果你的系统中安装的是 Python 2.7， 你还需要安装 python-ipaddress。

安装 Zeek

从源码安装

git clone --recursive https://github.com/zeek/zeek
cd zeek
./configure --prefix=/opt/zeek --with-pcap=/opt/PF_RING
make
sudo make install
export PATH=/opt/zeek/bin:$PATH

检查 zeek 是否正确使用了 PF_RING:

ldd /opt/zeek/bin/zeek | grep pcap
    libpcap.so.1 => /opt/pf_ring/lib/libpcap.so.1 (0x00007fa371e33000)

从二进制文件安装

从这个下载页面可以下载各个版本的 zeek 程序.

使用 Docker 安装

请查看这个 Github 仓库

启动 zeek

直接启动

假设配置文件为 hello.zeek:

捕获网卡p1p2的流量:

/opt/zeek/bin/zeek hello.zeek -C -i p1p2

从test.pcap输入流量:

/opt/zeek/bin/zeek hello.zeek -C -r test.pcap

使用 zeekctl

修改以下文件:

• $PREFIX/etc/node.cfg, 修改单机或集群设置
• $PREFIX/etc/networks.cfg, 修改本地网络的定义
• $PREFIX/etc/zeekctl.cfg, 修改部分配置

主要的改动在 $PREFIX/etc/node.cfg:

1. 单机启动

   [zeek]
   type=standalone
   host=localhost
   interface=p1p2

2. 集群配置(流量分配有问题, 暂时不用)

   [logger]
   type=logger
   host=localhost
   
   [manager]
   type=manager
   host=localhost
   
   [proxy-1]
   type=proxy
   host=localhost
   
   [worker-1]
   type=worker
   host=localhost
   interface=p1p2
   lb_method=pf_ring
   lb_procs=4
   pin_cpus=4,5,6,7
   env_vars=PCAP_PF_RING_CLUSTER_ID=99

之后启动 ZeekControl :

/opt/zeek/bin/zeekctl

使用 deploy 部署 zeek:

[ZeekControl] > deploy