Seguridad de red · 5 min read · Nov 25, 2025

Cómo instalar la herramienta de monitoreo de seguridad de red Zeek en Ubuntu 22.04

Zeek es una herramienta de monitoreo de seguridad gratuita, de código abierto y líder mundial utilizada como un sistema de detección de intrusiones en la red y analizador de tráfico de red. Los profesionales de seguridad la utilizan para detectar firmas sospechosas y rastrear la actividad de DNS, HTTP y FTP. Zeek funciona registrando la actividad de la red en un archivo separado. Este archivo contiene toda la información importante como tipos MIME, respuestas del servidor, solicitudes de DNS, sesiones HTTP, URIs solicitadas, certificados SSL y más.

Este tutorial te mostrará cómo instalar la herramienta de seguridad de red Zeek en Ubuntu 22.04.

Requisitos previos

  • Un servidor que ejecute Ubuntu 22.04 con un mínimo de 2 GB de RAM.
  • Una contraseña de root configurada en el servidor.

Empezando

Primero, debes actualizar todos los paquetes de tu sistema a la versión actualizada. Puedes actualizar todos ellos ejecutando el siguiente comando.

apt update -y  
apt upgrade -y

Después de actualizar todos los paquetes del sistema, instala algunos paquetes requeridos usando el siguiente comando.

apt install curl gnupg2 wget -y

Agregar el repositorio de Zeek

Por defecto, el paquete de Zeek no está incluido en el repositorio predeterminado de Ubuntu. Así que necesitarás agregar el repositorio de Zeek a APT.

Primero, descarga y agrega la clave GPG de Zeek con el siguiente comando.

curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg

A continuación, agrega el repositorio de Zeek con el siguiente comando.

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list

A continuación, actualiza la caché del repositorio usando el siguiente comando.

apt update -y

Instalar Zeek

Ahora puedes instalar la herramienta Zeek ejecutando simplemente el siguiente comando.

apt install zeek -y

Durante la instalación, se te pedirá que selecciones tu servidor de correo como se muestra a continuación:

Configuración de Postfix para Zeek

Selecciona local only y presiona la tecla Enter. Se te pedirá que proporciones el nombre de host de tu servidor de correo.

Establecer el nombre del host del sistema para Zeek

Escribe tu nombre de host y presiona la tecla Enter para finalizar la instalación.

A continuación, necesitarás agregar la ruta de instalación de Zeek a tu variable de sistema. Puedes agregarlo con el siguiente comando.

echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc

A continuación, activa la variable de sistema con el siguiente comando.

source ~/.bashrc

Ahora puedes verificar la versión de Zeek usando el siguiente comando:

zeek --version

Obtendrás la siguiente salida.

zeek version 5.1.1

Configurar el servidor Zeek

Primero, edita el archivo de configuración de red de Zeek y define tu red.

nano /opt/zeek/etc/networks.cfg

Aquí están las redes predeterminadas. Puedes agregar más redes al final del archivo.

10.0.0.0/8          Espacio de IP privado
172.16.0.0/12       Espacio de IP privado
192.168.0.0/16      Espacio de IP privado

Guarda y cierra el archivo, luego edita el archivo de configuración principal de Zeek.

nano /opt/zeek/etc/node.cfg

Comenta las siguientes líneas:

#[zeek]
#type=standalone
#host=localhost
#interface=eth0

Luego, agrega las siguientes configuraciones al final del archivo.

[zeek-logger]
type=logger
host=tu-ip-del-servidor
#
[zeek-manager]
type=manager
host=tu-ip-del-servidor
#
[zeek-proxy]
type=proxy
host=tu-ip-del-servidor
#
[zeek-worker]
type=worker
host=tu-ip-del-servidor
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo

Guarda el archivo y luego verifica la configuración de Zeek usando el siguiente comando.

zeekctl check

Obtendrás la siguiente salida.

Hint: Run the zeekctl "deploy" command to get started.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.

Ahora puedes desplegar Zeek usando el siguiente comando.

zeekctl deploy

Obtendrás la siguiente salida.

checking configurations ...
installing ...
creating policy directories ...
installing site policies ...
generating cluster-layout.zeek ...
generating local-networks.zeek ...
generating zeekctl-config.zeek ...
generating zeekctl-config.sh ...
stopping ...
stopping workers ...
stopping proxy ...
stopping manager ...
stopping logger ...
starting ...
starting logger ...
starting manager ...
starting proxy ...
starting workers ...

Probar el estado de Zeek

En este punto, Zeek está instalado y configurado. Ahora puedes verificar el estado de Zeek con el siguiente comando.

zeekctl status

Obtendrás la siguiente salida.

Name         Type    Host             Status    Pid    Started
zeek-logger  logger  209.23.10.179    running   58935  19 Jan 05:37:02
zeek-manager manager 209.23.10.179    running   58985  19 Jan 05:37:03
zeek-proxy   proxy   209.23.10.179    running   59035  19 Jan 05:37:05
zeek-worker  worker  209.23.10.179    running   59107  19 Jan 05:37:06
zeek-worker-lo worker  localhost        running   59104  19 Jan 05:37:06

Zeek almacena sus registros en el directorio /opt/zeek/logs/current/. Puedes verificar todos los archivos de registro usando el siguiente comando.

ls -l /opt/zeek/logs/current/

Verás la siguiente salida.

total 72
-rw-r--r-- 1 root zeek  1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek  2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek   187 Jan 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek  6158 Jan 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek   666 Jan 19 05:37 reporter.log
-rw-r--r-- 1 root zeek   601 Jan 19 05:37 stats.log
-rw-r--r-- 1 root zeek     0 Jan 19 05:37 stderr.log
-rw-r--r-- 1 root zeek   204 Jan 19 05:37 stdout.log
-rw-r--r-- 1 root zeek   266 Jan 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek   960 Jan 19 05:37 weird.log

Para verificar el registro del clúster de Zeek, ejecuta el siguiente comando.

tail /opt/zeek/logs/current/cluster.log

Obtendrás la siguiente salida.

1674106627.672399   zeek-proxy  obtuvo hola de zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144   zeek-proxy  obtuvo hola de zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594   zeek-manager    obtuvo hola de zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439   zeek-manager    obtuvo hola de zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635   zeek-worker-lo  obtuvo hola de zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358   zeek-worker-lo  obtuvo hola de zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564   zeek-worker-lo  obtuvo hola de zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986   zeek-worker obtuvo hola de zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878   zeek-worker obtuvo hola de zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099   zeek-worker obtuvo hola de zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)

Para verificar el registro de conexión de Zeek, ejecuta el siguiente comando.

tail /opt/zeek/logs/current/conn.log

Obtendrás la siguiente salida.

1674106667.717311   Camkki2oVKl4J9dgpd  209.23.10.179   47762   209.23.10.179   56180   tcp -   -   -   -   OTH FF  0   CccC    0   0   0   0   -
1674106667.742276   CZ7aKU3nUfkjSSN5x6  209.23.10.179   56182   209.23.10.179   47762   tcp -   -   -   -   OTH FF  0   CcCc    0   0   0   0   -
1674106667.742332   Cd58V813jeHygHXQS2  209.23.10.179   56176   209.23.10.179   47762   tcp -   -   -   -   OTH FF  0   CcCc    0   0   0   0   -
1674106668.621860   CZlcm316EidXbp4aMj  209.23.10.179   41430   209.23.10.179   47761   tcp -   -   -   -   OTH FF  0   Cc  0   0   0   0   -

Conclusión

¡Felicidades! has instalado con éxito la herramienta de monitoreo de seguridad Zeek en el servidor Ubuntu 22.04. Espero que esta publicación ayude a entender la arquitectura de la red e investigar cualquier actividad maliciosa. No dudes en preguntarme si tienes alguna pregunta.

Share: X/Twitter LinkedIn
#Seguridad de red

Recibe nuevas publicaciones en tu bandeja de entrada.

No spam. Cancela la suscripción en cualquier momento.