Sicurezza Rete · 5 min read · Nov 25, 2025
Come installare lo strumento di monitoraggio della sicurezza di rete Zeek su Ubuntu 22.04
Zeek è uno strumento di monitoraggio della sicurezza gratuito, open-source e leader mondiale utilizzato come sistema di rilevamento delle intrusioni di rete e analizzatore del traffico di rete. I professionisti della sicurezza lo utilizzano per rilevare firme sospette e monitorare l’attività DNS, HTTP e FTP. Zeek funziona registrando l’attività di rete in un file separato. Questo file contiene tutte le informazioni importanti come tipi MIME, risposte del server, richieste DNS, sessioni HTTP, URI richieste, certificati SSL e altro ancora.
Questo tutorial ti mostrerà come installare lo strumento di sicurezza di rete Zeek su Ubuntu 22.04.
Prerequisiti
- Un server che esegue Ubuntu 22.04 con un minimo di 2 GB di RAM.
- Una password di root configurata sul server.
Iniziare
Per prima cosa, devi aggiornare tutti i pacchetti di sistema alla versione aggiornata. Puoi aggiornare tutti eseguendo il seguente comando.
apt update -y
apt upgrade -yDopo aver aggiornato tutti i pacchetti di sistema, installa alcuni pacchetti richiesti utilizzando il seguente comando.
apt install curl gnupg2 wget -yAggiungi il repository di Zeek
Per impostazione predefinita, il pacchetto Zeek non è incluso nel repository predefinito di Ubuntu. Quindi dovrai aggiungere il repository di Zeek ad APT.
Per prima cosa, scarica e aggiungi la chiave GPG di Zeek con il seguente comando.
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpgSuccessivamente, aggiungi il repository di Zeek con il seguente comando.
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.listSuccessivamente, aggiorna la cache del repository utilizzando il seguente comando.
apt update -yInstalla Zeek
Ora puoi installare lo strumento Zeek semplicemente eseguendo il seguente comando.
apt install zeek -yDurante l’installazione, ti verrà chiesto di selezionare il tuo server di posta come mostrato di seguito:
Seleziona solo locale e premi il tasto Invio. Ti verrà chiesto di fornire il nome host del tuo server di posta.
Digita il tuo nome host e premi il tasto Invio per terminare l’installazione.
Successivamente, dovrai aggiungere il percorso di installazione di Zeek alla tua variabile di sistema. Puoi aggiungerlo con il seguente comando.
echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrcSuccessivamente, attiva la variabile di sistema con il seguente comando.
source ~/.bashrcOra puoi verificare la versione di Zeek utilizzando il seguente comando:
zeek --versionOtterrai il seguente output.
zeek version 5.1.1
Configura il server Zeek
Per prima cosa, modifica il file di configurazione della rete di Zeek e definisci la tua rete.
nano /opt/zeek/etc/networks.cfgEcco le reti predefinite. Puoi aggiungere altre reti alla fine del file.
10.0.0.0/8 Spazio IP privato
172.16.0.0/12 Spazio IP privato
192.168.0.0/16 Spazio IP privato
Salva e chiudi il file, quindi modifica il file di configurazione principale di Zeek.
nano /opt/zeek/etc/node.cfgCommenta le seguenti righe:
#[zeek]
#type=standalone
#host=localhost
#interface=eth0
Quindi, aggiungi le seguenti configurazioni alla fine del file.
[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo
Salva il file, quindi verifica la configurazione di Zeek utilizzando il seguente comando.
zeekctl checkOtterrai il seguente output.
Hint: Esegui il comando zeekctl "deploy" per iniziare.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.
Ora puoi distribuire Zeek utilizzando il seguente comando.
zeekctl deployOtterrai il seguente output.
controllo delle configurazioni ...
installazione ...
creazione delle directory delle politiche ...
installazione delle politiche del sito ...
generazione cluster-layout.zeek ...
generazione local-networks.zeek ...
generazione zeekctl-config.zeek ...
generazione zeekctl-config.sh ...
fermo ...
fermo i lavoratori ...
fermo il proxy ...
fermo il manager ...
fermo il logger ...
inizio ...
inizio del logger ...
inizio del manager ...
inizio del proxy ...
inizio dei lavoratori ...
Testa lo stato di Zeek
A questo punto, Zeek è installato e configurato. Ora puoi controllare lo stato di Zeek con il seguente comando.
zeekctl statusOtterrai il seguente output.
Nome Tipo Host Stato Pid Avviato
zeek-logger logger 209.23.10.179 in esecuzione 58935 19 Gen 05:37:02
zeek-manager manager 209.23.10.179 in esecuzione 58985 19 Gen 05:37:03
zeek-proxy proxy 209.23.10.179 in esecuzione 59035 19 Gen 05:37:05
zeek-worker worker 209.23.10.179 in esecuzione 59107 19 Gen 05:37:06
zeek-worker-lo worker localhost in esecuzione 59104 19 Gen 05:37:06
Zeek memorizza i propri log nella directory /opt/zeek/logs/current/. Puoi controllare tutti i file di log utilizzando il seguente comando.
ls -l /opt/zeek/logs/current/Vedrai il seguente output.
total 72
-rw-r--r-- 1 root zeek 1735 Gen 19 05:37 broker.log
-rw-r--r-- 1 root zeek 2166 Gen 19 05:37 cluster.log
-rw-r--r-- 1 root zeek 187 Gen 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek 6158 Gen 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Gen 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek 666 Gen 19 05:37 reporter.log
-rw-r--r-- 1 root zeek 601 Gen 19 05:37 stats.log
-rw-r--r-- 1 root zeek 0 Gen 19 05:37 stderr.log
-rw-r--r-- 1 root zeek 204 Gen 19 05:37 stdout.log
-rw-r--r-- 1 root zeek 266 Gen 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek 960 Gen 19 05:37 weird.log
Per controllare il log del cluster di Zeek, esegui il seguente comando.
tail /opt/zeek/logs/current/cluster.logOtterrai il seguente output.
1674106627.672399 zeek-proxy ricevuto hello da zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144 zeek-proxy ricevuto hello da zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594 zeek-manager ricevuto hello da zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439 zeek-manager ricevuto hello da zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635 zeek-worker-lo ricevuto hello da zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358 zeek-worker-lo ricevuto hello da zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564 zeek-worker-lo ricevuto hello da zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986 zeek-worker ricevuto hello da zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878 zeek-worker ricevuto hello da zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099 zeek-worker ricevuto hello da zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
Per controllare il log delle connessioni di Zeek, esegui il seguente comando.
tail /opt/zeek/logs/current/conn.logOtterrai il seguente output.
1674106667.717311 Camkki2oVKl4J9dgpd 209.23.10.179 47762 209.23.10.179 56180 tcp - - - - OTH FF 0 CccC 0 0 0 0 -
1674106667.742276 CZ7aKU3nUfkjSSN5x6 209.23.10.179 56182 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106667.742332 Cd58V813jeHygHXQS2 209.23.10.179 56176 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106668.621860 CZlcm316EidXbp4aMj 209.23.10.179 41430 209.23.10.179 47761 tcp - - - - OTH FF 0 Cc 0 0 0 0 -
Conclusione
Congratulazioni! hai installato con successo lo strumento di monitoraggio della sicurezza Zeek sul server Ubuntu 22.04. Spero che questo post ti aiuti a comprendere l’architettura della rete e a indagare su eventuali attività dannose. Sentiti libero di chiedermi se hai domande.
Ricevi i nuovi post nella tua casella di posta.
Nessuno spam. Disiscriviti in qualsiasi momento.