Zeek Nedir? Nasıl Kurulur?

Zeek Nedir?

Zeek, açık kaynak kodlu bir network trafik izleme ve analiz aracıdır. Tüm ağ trafiğinizi inceler ve gerçekleşen şüpheli aktiviteleri analiz etme imkanı sağlar.

Kurulum

Zeek kurmadan önce bazı gerekli bağımlılıkların yüklü olduğundan emin olmamız gerek.

Bağımlılıklar

Aşağıdaki listemizde olanları kurmamız gerek.

• Libpcap (http://www.tcpdump.org)
• OpenSSL libraries (https://www.openssl.org)
• BIND8 library
• Libz
• Bash (for ZeekControl)
• Python 3.5 or greater (https://www.python.org/)

Gerekli bağımlılıkları yüklemek için şunları kullanabilirsiniz.

• RPM/RedHat-based Linux:
  
  sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python3 python3-devel swig zlib-devel

• DEB/Debian-based Linux:
  
  sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python3 python3-dev swig zlib1g-dev

• FreeBSD:
  
  sudo pkg install -y bash git cmake swig bison python3 base64 pyver=python3 -c 'import sys; print(f"py{sys.version_info[0]}{sys.version_info[1]}")'sudo pkg install -y $pyver-sqlite3

Zeek İndirme ve Kurulum

Gerekli bağımlılıkları kurduktan sonra github’dan zeek’i indirip kuralım.

Minimum Başlangıç ​​Yapılandırması

İzlemek için doğru arayüzü ayarlayalım;

Not: Interface yani arayüzünü ifconfigde hangisiyse onu yazalım.

Şimdi ZeekControl kabuğunu şu şekilde başlatın:

Bu, kabuğun ilk kullanımı olduğundan, ZeekControl yapılandırmasının ilk kurulumunu gerçekleştirin:

ardından zeek’i başlatalım.

durdurmak için ise;

Log dosyalarına göz atma

log dosyaları bu dizindedir. Ve birçok farklı log dosyası mevcuttur.

Örnek log dosyası okuma;

Örnek çıktı:

# ts          uid          orig_h        orig_p  resp_h         resp_p
1311627961.8  HSH4uV8KVJg  192.168.1.100 52303   192.150.187.43 80

Daha fazla log bilgisi ve dokümantasyon için zeek dokümantasyon sitesine bakabilirsiniz.

• Zeek Loglar
• Zeek Döküman