Bro已更名为Zeek,是一款功能强大的开源网络安全监控器,不仅仅是IDS,更是网络分析框架。Zeek为您实时洞悉网络运行,帮助检测和预防安全事件。其优势包括详细网络流量日志记录、事件驱动分析和检测各种网络异常和安全事件的能力。
步骤 1。在安装 Zeek 之前,您需要通过执行以下命令来更新和刷新您的 Debian 存储库:
sudo apt update sudo apt upgrade
此命令将更新升级和新软件包安装的软件包列表。
第2步。在 Debian 上安装 Zeek Network Security Monitor 12.
更新存储库后,您可以开始 Zeek 安装。首先,使用以下命令为 Zeek 软件包添加 GPG 密钥和存储库:
curl -fsSL https://download.opensuse.org/repositories/security:zeek/Debian_12/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null echo 'deb http://download.opensuse.org/repositories/security:/zeek/Debian_12/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
接下来,通过执行以下命令来更新 Debian 存储库:
sudo apt update
现在,您可以通过执行以下命令来安装 Zeek:
sudo apt install zeek-lts
安装完成后,您可以使用以下命令检查Zeek二进制文件的位置,检查Zeek版本,并打印Zeek帮助消息:
which zeek zeek --version zeek --help
第 3 步。配置 Zeek。
在独立模式下配置 Zeek 的第一步是设置 Zeek 将监控的网络接口。打开节点。CFG公司文件位于 $PREFIX/etc/ 目录中,其中 $PREFIX 是 Zeek 安装根目录。默认情况下,如果从源代码安装,则为 /usr/local/zeek,如果从二进制软件包安装,则为 /opt/zeek。例如,如果您的网络接口是“eth0”,则配置将如下所示:
[zeek] type=standalone host=localhost interface=eth0
如果您计划在集群配置中运行 Zeek,则需要定义记录器、管理器、代理和工作线程的运行位置。对于群集配置,请注释掉(或删除)节点中的 独立节点。CFG公司 文件,然后取消注释或添加集群中每个节点(记录器、管理器、代理和工作线程)的节点条目:
例如,要在由三台机器组成的集群上运行五个 Zeek 节点(两个工作线程、一个代理、一个记录器和一个管理器),集群配置如下所示:
[logger] type=logger host=192.168.1.1 [manager] type=manager host=192.168.1.2 [proxy-1] type=proxy host=192.168.1.2 [worker-1] type=worker host=192.168.1.3 interface=eth0 [worker-2] type=worker host=192.168.1.3 interface=eth1
配置 Zeek 后,您可以使用 zeekctl 命令启动它:
zeekctl deploy
此命令等同于 Zeek 中的 install 和 start 命令。您可以通过执行 status 命令来检查 Zeek 集群的每个组件的状态 :
zeekctl status
感谢您使用本教程在 Debian 12 Bookworm 上安装最新版本的 Zeek 开源网络流量分析器。如需更多帮助或有用信息,我们建议您查看 Zeek 官方网站。
