Sécurité réseau · 5 min read · Nov 25, 2025
Comment installer l'outil de surveillance de la sécurité réseau Zeek sur Ubuntu 22.04
Zeek est un outil de surveillance de la sécurité gratuit, open-source et leader mondial utilisé comme système de détection d’intrusion réseau et analyseur de trafic réseau. Les professionnels de la sécurité l’utilisent pour détecter des signatures suspectes et suivre l’activité DNS, HTTP et FTP. Zeek fonctionne en enregistrant l’activité réseau dans un fichier séparé. Ce fichier contient toutes les informations importantes telles que les types MIME, les réponses du serveur, les requêtes DNS, les sessions HTTP, les URI demandées, les certificats SSL, et plus encore.
Ce tutoriel vous montrera comment installer l’outil de sécurité réseau Zeek sur Ubuntu 22.04.
Prérequis
- Un serveur exécutant Ubuntu 22.04 avec un minimum de 2 Go de RAM.
- Un mot de passe root configuré sur le serveur.
Mise en route
Tout d’abord, vous devez mettre à jour tous vos paquets système vers la version mise à jour. Vous pouvez tous les mettre à jour en exécutant la commande suivante.
apt update -y
apt upgrade -yAprès avoir mis à jour tous les paquets système, installez quelques paquets requis en utilisant la commande suivante.
apt install curl gnupg2 wget -yAjouter le dépôt Zeek
Par défaut, le paquet Zeek n’est pas inclus dans le dépôt par défaut d’Ubuntu. Vous devrez donc ajouter le dépôt Zeek à APT.
Tout d’abord, téléchargez et ajoutez la clé GPG de Zeek avec la commande suivante.
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpgEnsuite, ajoutez le dépôt Zeek avec la commande suivante.
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.listEnsuite, mettez à jour le cache du dépôt en utilisant la commande suivante.
apt update -yInstaller Zeek
Vous pouvez maintenant installer l’outil Zeek en exécutant simplement la commande suivante.
apt install zeek -yPendant l’installation, il vous sera demandé de sélectionner votre serveur de messagerie comme indiqué ci-dessous :
Sélectionnez local uniquement et appuyez sur la touche Entrée. Il vous sera demandé de fournir le nom d’hôte de votre serveur de messagerie.
Tapez votre nom d’hôte et appuyez sur la touche Entrée pour terminer l’installation.
Ensuite, vous devrez ajouter le chemin d’installation de Zeek à votre variable système. Vous pouvez l’ajouter avec la commande suivante.
echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrcEnsuite, activez la variable système avec la commande suivante.
source ~/.bashrcVous pouvez maintenant vérifier la version de Zeek en utilisant la commande suivante :
zeek --versionVous obtiendrez la sortie suivante.
zeek version 5.1.1Configurer le serveur Zeek
Tout d’abord, éditez le fichier de configuration réseau de Zeek et définissez votre réseau.
nano /opt/zeek/etc/networks.cfgVoici les réseaux par défaut. Vous pouvez ajouter plus de réseaux à la fin du fichier.
10.0.0.0/8 Espace IP privé
172.16.0.0/12 Espace IP privé
192.168.0.0/16 Espace IP privéEnregistrez et fermez le fichier, puis éditez le fichier de configuration principal de Zeek.
nano /opt/zeek/etc/node.cfgCommentez les lignes suivantes :
#[zeek]
#type=standalone
#host=localhost
#interface=eth0Ensuite, ajoutez les configurations suivantes à la fin du fichier.
[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=loEnregistrez le fichier, puis vérifiez la configuration de Zeek en utilisant la commande suivante.
zeekctl checkVous obtiendrez la sortie suivante.
Hint: Run the zeekctl "deploy" command to get started.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.Vous pouvez maintenant déployer Zeek en utilisant la commande suivante.
zeekctl deployVous obtiendrez la sortie suivante.
checking configurations ...
installing ...
creating policy directories ...
installing site policies ...
generating cluster-layout.zeek ...
generating local-networks.zeek ...
generating zeekctl-config.zeek ...
generating zeekctl-config.sh ...
stopping ...
stopping workers ...
stopping proxy ...
stopping manager ...
stopping logger ...
starting ...
starting logger ...
starting manager ...
starting proxy ...
starting workers ...Tester l’état de Zeek
À ce stade, Zeek est installé et configuré. Vous pouvez maintenant vérifier l’état de Zeek avec la commande suivante.
zeekctl statusVous obtiendrez la sortie suivante.
Name Type Host Status Pid Started
zeek-logger logger 209.23.10.179 running 58935 19 Jan 05:37:02
zeek-manager manager 209.23.10.179 running 58985 19 Jan 05:37:03
zeek-proxy proxy 209.23.10.179 running 59035 19 Jan 05:37:05
zeek-worker worker 209.23.10.179 running 59107 19 Jan 05:37:06
zeek-worker-lo worker localhost running 59104 19 Jan 05:37:06Zeek stocke ses journaux dans le répertoire /opt/zeek/logs/current/. Vous pouvez vérifier tous les fichiers journaux en utilisant la commande suivante.
ls -l /opt/zeek/logs/current/Vous verrez la sortie suivante.
total 72
-rw-r--r-- 1 root zeek 1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek 2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek 187 Jan 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek 6158 Jan 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek 666 Jan 19 05:37 reporter.log
-rw-r--r-- 1 root zeek 601 Jan 19 05:37 stats.log
-rw-r--r-- 1 root zeek 0 Jan 19 05:37 stderr.log
-rw-r--r-- 1 root zeek 204 Jan 19 05:37 stdout.log
-rw-r--r-- 1 root zeek 266 Jan 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek 960 Jan 19 05:37 weird.logPour vérifier le journal du cluster Zeek, exécutez la commande suivante.
tail /opt/zeek/logs/current/cluster.logVous obtiendrez la sortie suivante.
1674106627.672399 zeek-proxy got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144 zeek-proxy got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594 zeek-manager got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439 zeek-manager got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635 zeek-worker-lo got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358 zeek-worker-lo got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564 zeek-worker-lo got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986 zeek-worker got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878 zeek-worker got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099 zeek-worker got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)Pour vérifier le journal des connexions de Zeek, exécutez la commande suivante.
tail /opt/zeek/logs/current/conn.logVous obtiendrez la sortie suivante.
1674106667.717311 Camkki2oVKl4J9dgpd 209.23.10.179 47762 209.23.10.179 56180 tcp - - - - OTH FF 0 CccC 0 0 0 0 -
1674106667.742276 CZ7aKU3nUfkjSSN5x6 209.23.10.179 56182 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106667.742332 Cd58V813jeHygHXQS2 209.23.10.179 56176 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106668.621860 CZlcm316EidXbp4aMj 209.23.10.179 41430 209.23.10.179 47761 tcp - - - - OTH FF 0 Cc 0 0 0 0 -Conclusion
Félicitations ! Vous avez réussi à installer l’outil de surveillance de la sécurité Zeek sur le serveur Ubuntu 22.04. J’espère que cet article vous aidera à comprendre l’architecture du réseau et à enquêter sur toute activité malveillante. N’hésitez pas à me poser des questions si vous en avez.
Recevez de nouveaux articles dans votre boîte de réception.
Aucun spam. Désabonnez-vous à tout moment.