Sicherheit · 5 min read · Nov 25, 2025

So installieren Sie das Zeek-Netzwerksicherheitsüberwachungstool auf Ubuntu 22.04

Zeek ist ein kostenloses, Open-Source- und weltweit führendes Sicherheitsüberwachungstool, das als Netzwerk-Intrusion-Detection-System und Netzwerkverkehrsanalyzer verwendet wird. Sicherheitsfachleute nutzen es, um verdächtige Signaturen zu erkennen und DNS-, HTTP- und FTP-Aktivitäten zu verfolgen. Zeek funktioniert, indem es Netzwerkaktivitäten in einer separaten Datei protokolliert. Diese Datei enthält alle wichtigen Informationen wie MIME-Typen, Serverantworten, DNS-Anfragen, HTTP-Sitzungen, angeforderte URIs, SSL-Zertifikate und mehr.

Dieses Tutorial zeigt Ihnen, wie Sie das Zeek-Netzwerksicherheitstool auf Ubuntu 22.04 installieren.

Voraussetzungen

  • Ein Server, der Ubuntu 22.04 mit mindestens 2 GB RAM ausführt.
  • Ein Root-Passwort ist auf dem Server konfiguriert.

Erste Schritte

Zuerst müssen Sie alle Ihre Systempakete auf die aktualisierte Version aktualisieren. Sie können alle mit dem folgenden Befehl aktualisieren.

apt update -y  
apt upgrade -y

Nachdem Sie alle Systempakete aktualisiert haben, installieren Sie einige erforderliche Pakete mit dem folgenden Befehl.

apt install curl gnupg2 wget -y

Zeek-Repository hinzufügen

Standardmäßig ist das Zeek-Paket nicht im Standard-Repository von Ubuntu enthalten. Daher müssen Sie das Zeek-Repository zu APT hinzufügen.

Zuerst laden Sie den Zeek GPG-Schlüssel herunter und fügen ihn mit dem folgenden Befehl hinzu.

curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg

Als Nächstes fügen Sie das Zeek-Repository mit dem folgenden Befehl hinzu.

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list

Als Nächstes aktualisieren Sie den Repository-Cache mit dem folgenden Befehl.

apt update -y

Zeek installieren

Sie können jetzt das Zeek-Tool installieren, indem Sie einfach den folgenden Befehl ausführen.

apt install zeek -y

Während der Installation werden Sie aufgefordert, Ihren Mailserver auszuwählen, wie unten gezeigt:

Postfix-Konfiguration für Zeek

Wählen Sie nur lokal und drücken Sie die Enter-Taste. Sie werden aufgefordert, den Hostnamen Ihres Mailservers anzugeben.

System-Hostnamen für Zeek festlegen

Geben Sie Ihren Hostnamen ein und drücken Sie die Enter-Taste, um die Installation abzuschließen.

Als Nächstes müssen Sie den Zeek-Installationspfad zu Ihrer Systemvariablen hinzufügen. Sie können dies mit dem folgenden Befehl tun.

echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc

Aktivieren Sie als Nächstes die Systemvariable mit dem folgenden Befehl.

source ~/.bashrc

Sie können jetzt die Zeek-Version mit dem folgenden Befehl überprüfen:

zeek --version

Sie erhalten die folgende Ausgabe.

zeek version 5.1.1

Zeek-Server konfigurieren

Zuerst bearbeiten Sie die Zeek-Netzwerkkonfigurationsdatei und definieren Ihr Netzwerk.

nano /opt/zeek/etc/networks.cfg

Hier sind die Standardnetzwerke. Sie können am Ende der Datei weitere Netzwerke hinzufügen.

10.0.0.0/8          Private IP-Räume
172.16.0.0/12       Private IP-Räume
192.168.0.0/16      Private IP-Räume

Speichern Sie die Datei und schließen Sie sie, und bearbeiten Sie dann die Hauptkonfigurationsdatei von Zeek.

nano /opt/zeek/etc/node.cfg

Kommentieren Sie die folgenden Zeilen aus:

#[zeek]
#type=standalone
#host=localhost
#interface=eth0

Fügen Sie dann die folgenden Konfigurationen am Ende der Datei hinzu.

[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo

Speichern Sie die Datei und überprüfen Sie die Zeek-Konfiguration mit dem folgenden Befehl.

zeekctl check

Sie erhalten die folgende Ausgabe.

Hinweis: Führen Sie den Befehl zeekctl "deploy" aus, um zu beginnen.
zeek-logger-Skripte sind in Ordnung.
zeek-manager-Skripte sind in Ordnung.
zeek-proxy-Skripte sind in Ordnung.
zeek-worker-Skripte sind in Ordnung.
zeek-worker-lo-Skripte sind in Ordnung.

Sie können jetzt Zeek mit dem folgenden Befehl bereitstellen.

zeekctl deploy

Sie erhalten die folgende Ausgabe.

Überprüfen der Konfigurationen ...
Installation ...
Erstellen von Richtlinienverzeichnissen ...
Installation von Standortrichtlinien ...
Generierung von cluster-layout.zeek ...
Generierung von local-networks.zeek ...
Generierung von zeekctl-config.zeek ...
Generierung von zeekctl-config.sh ...
Anhalten ...
Anhalten der Worker ...
Anhalten des Proxys ...
Anhalten des Managers ...
Anhalten des Loggers ...
Starten ...
Starten des Loggers ...
Starten des Managers ...
Starten des Proxys ...
Starten der Worker ...

Zeek-Status testen

An diesem Punkt ist Zeek installiert und konfiguriert. Sie können jetzt den Zeek-Status mit dem folgenden Befehl überprüfen.

zeekctl status

Sie erhalten die folgende Ausgabe.

Name         Typ    Host             Status    Pid    Gestartet
zeek-logger  logger  209.23.10.179    läuft    58935  19 Jan 05:37:02
zeek-manager manager 209.23.10.179    läuft    58985  19 Jan 05:37:03
zeek-proxy   proxy   209.23.10.179    läuft    59035  19 Jan 05:37:05
zeek-worker  worker  209.23.10.179    läuft    59107  19 Jan 05:37:06
zeek-worker-lo worker  localhost        läuft    59104  19 Jan 05:37:06

Zeek speichert seine Protokolle im Verzeichnis /opt/zeek/logs/current/. Sie können alle Protokolldateien mit dem folgenden Befehl überprüfen.

ls -l /opt/zeek/logs/current/

Sie sehen die folgende Ausgabe.

insgesamt 72
-rw-r--r-- 1 root zeek  1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek  2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek   187 Jan 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek  6158 Jan 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek   666 Jan 19 05:37 reporter.log
-rw-r--r-- 1 root zeek   601 Jan 19 05:37 stats.log
-rw-r--r-- 1 root zeek     0 Jan 19 05:37 stderr.log
-rw-r--r-- 1 root zeek   204 Jan 19 05:37 stdout.log
-rw-r--r-- 1 root zeek   266 Jan 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek   960 Jan 19 05:37 weird.log

Um das Zeek-Clusterprotokoll zu überprüfen, führen Sie den folgenden Befehl aus.

tail /opt/zeek/logs/current/cluster.log

Sie erhalten die folgende Ausgabe.

1674106627.672399 zeek-proxy erhielt Hallo von zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144 zeek-proxy erhielt Hallo von zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594 zeek-manager erhielt Hallo von zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439 zeek-manager erhielt Hallo von zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635 zeek-worker-lo erhielt Hallo von zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358 zeek-worker-lo erhielt Hallo von zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564 zeek-worker-lo erhielt Hallo von zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986 zeek-worker erhielt Hallo von zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878 zeek-worker erhielt Hallo von zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099 zeek-worker erhielt Hallo von zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)

Um das Zeek-Verbindungsprotokoll zu überprüfen, führen Sie den folgenden Befehl aus.

tail /opt/zeek/logs/current/conn.log

Sie erhalten die folgende Ausgabe.

1674106667.717311 Camkki2oVKl4J9dgpd 209.23.10.179 47762 209.23.10.179 56180 tcp - - - - OTH FF 0 CccC 0 0 0 0 -
1674106667.742276 CZ7aKU3nUfkjSSN5x6 209.23.10.179 56182 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106667.742332 Cd58V813jeHygHXQS2 209.23.10.179 56176 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106668.621860 CZlcm316EidXbp4aMj 209.23.10.179 41430 209.23.10.179 47761 tcp - - - - OTH FF 0 Cc 0 0 0 0 -

Fazit

Herzlichen Glückwunsch! Sie haben erfolgreich das Zeek-Sicherheitsüberwachungstool auf dem Ubuntu 22.04-Server installiert. Ich hoffe, dieser Beitrag hilft Ihnen, die Netzwerkarchitektur zu verstehen und böswillige Aktivitäten zu untersuchen. Zögern Sie nicht, mich zu fragen, wenn Sie Fragen haben.

Share: X/Twitter LinkedIn
#Sicherheit

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.