Zeek Nedir? Nasıl Kurulur?

Zeek Nedir?

Zeek, açık kaynak kodlu bir network trafik izleme ve analiz aracıdır. Tüm ağ trafiğinizi inceler ve gerçekleşen şüpheli aktiviteleri analiz etme imkanı sağlar.

Kurulum

Zeek kurmadan önce bazı gerekli bağımlılıkların yüklü olduğundan emin olmamız gerek.

Bağımlılıklar

Aşağıdaki listemizde olanları kurmamız gerek.

Gerekli bağımlılıkları yüklemek için şunları kullanabilirsiniz.

  • RPM/RedHat-based Linux:
    sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python3 python3-devel swig zlib-devel
  • DEB/Debian-based Linux:
    sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python3 python3-dev swig zlib1g-dev
  • FreeBSD:
    sudo pkg install -y bash git cmake swig bison python3 base64 pyver=python3 -c 'import sys; print(f"py{sys.version_info[0]}{sys.version_info[1]}")'sudo pkg install -y $pyver-sqlite3

Zeek İndirme ve Kurulum

Gerekli bağımlılıkları kurduktan sonra github’dan zeek’i indirip kuralım.

git clone --recursive https://github.com/zeek/zeek
cd zeek
./configure
make
make install

Minimum Başlangıç ​​Yapılandırması

İzlemek için doğru arayüzü ayarlayalım;

[zeek]
type=standalone
host=localhost
interface=eth0

Not: Interface yani arayüzünü ifconfigde hangisiyse onu yazalım.

Şimdi ZeekControl kabuğunu şu şekilde başlatın:

zeekctl

Bu, kabuğun ilk kullanımı olduğundan, ZeekControl yapılandırmasının ilk kurulumunu gerçekleştirin:

[ZeekControl] > install

ardından zeek’i başlatalım.

[ZeekControl] > start

durdurmak için ise;

[ZeekControl] > stop

Log dosyalarına göz atma

log dosyaları bu dizindedir. Ve birçok farklı log dosyası mevcuttur.

cd /usr/local/zeek/logs/current

Örnek log dosyası okuma;

cat http.log

Örnek çıktı:

# ts          uid          orig_h        orig_p  resp_h         resp_p
1311627961.8  HSH4uV8KVJg  192.168.1.100 52303   192.150.187.43 80

Daha fazla log bilgisi ve dokümantasyon için zeek dokümantasyon sitesine bakabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.