セキュリティ · 2 min read · Nov 25, 2025

Ubuntu 22.04にZeekネットワークセキュリティ監視ツールをインストールする方法

Zeekは、ネットワーク侵入検知システムおよびネットワークトラフィックアナライザーとして使用される、無料でオープンソースの世界的に有名なセキュリティ監視ツールです。セキュリティ専門家は、疑わしいシグネチャを検出し、DNS、HTTP、FTPの活動を追跡するために使用します。Zeekは、ネットワーク活動を別のファイルにログとして記録することによって機能します。このファイルには、MIMEタイプ、サーバーの応答、DNSリクエスト、HTTPセッション、要求されたURI、SSL証明書などの重要な情報が含まれています。

このチュートリアルでは、Ubuntu 22.04にZeekネットワークセキュリティツールをインストールする方法を示します。

前提条件

  • 最低2GBのRAMを搭載したUbuntu 22.04を実行しているサーバー。
  • サーバーにルートパスワードが設定されていること。

始めに

まず、すべてのシステムパッケージを最新のバージョンに更新する必要があります。次のコマンドを実行することで、すべてを更新できます。

apt update -y  
apt upgrade -y

すべてのシステムパッケージを更新した後、次のコマンドを使用して必要なパッケージをいくつかインストールします。

apt install curl gnupg2 wget -y

Zeekリポジトリの追加

デフォルトでは、ZeekパッケージはUbuntuのデフォルトリポジトリには含まれていません。したがって、APTにZeekリポジトリを追加する必要があります。

まず、次のコマンドを使用してZeek GPGキーをダウンロードして追加します。

curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg

次に、次のコマンドを使用してZeekリポジトリを追加します。

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list

次に、次のコマンドを使用してリポジトリキャッシュを更新します。

apt update -y

Zeekのインストール

次のコマンドを実行するだけで、Zeekツールをインストールできます。

apt install zeek -y

インストール中に、以下のようにメールサーバーを選択するように求められます:

ZeekのためのPostfix設定

local onlyを選択し、Enterキーを押します。メールサーバーのホスト名を提供するように求められます。

Zeekのためのシステムホスト名の設定

ホスト名を入力し、Enterキーを押してインストールを完了します。

次に、Zeekのインストールパスをシステム変数に追加する必要があります。次のコマンドを使用して追加できます。

echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc

次に、次のコマンドを使用してシステム変数を有効にします。

source ~/.bashrc

次のコマンドを使用してZeekのバージョンを確認できます:

zeek --version

次の出力が得られます。

zeek version 5.1.1

Zeekサーバーの設定

まず、Zeekネットワーク設定ファイルを編集し、ネットワークを定義します。

nano /opt/zeek/etc/networks.cfg

ここにデフォルトのネットワークがあります。ファイルの最後にさらにネットワークを追加できます。

10.0.0.0/8          プライベートIPスペース
172.16.0.0/12       プライベートIPスペース
192.168.0.0/16      プライベートIPスペース

ファイルを保存して閉じたら、Zeekのメイン設定ファイルを編集します。

nano /opt/zeek/etc/node.cfg

次の行をコメントアウトします:

#[zeek]
#type=standalone
#host=localhost
#interface=eth0

次に、ファイルの最後に次の設定を追加します。

[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo

ファイルを保存したら、次のコマンドを使用してZeekの設定を確認します。

zeekctl check

次の出力が得られます。

ヒント: zeekctlの「deploy」コマンドを実行して開始してください。
zeek-loggerスクリプトは正常です。
zeek-managerスクリプトは正常です。
zeek-proxyスクリプトは正常です。
zeek-workerスクリプトは正常です。
zeek-worker-loスクリプトは正常です。

次のコマンドを使用してZeekをデプロイできます。

zeekctl deploy

次の出力が得られます。

設定を確認中...
インストール中...
ポリシーディレクトリを作成中...
サイトポリシーをインストール中...
cluster-layout.zeekを生成中...
local-networks.zeekを生成中...
zeekctl-config.zeekを生成中...
zeekctl-config.shを生成中...
停止中...
ワーカーを停止中...
プロキシを停止中...
マネージャーを停止中...
ロガーを停止中...
開始中...
ロガーを開始中...
マネージャーを開始中...
プロキシを開始中...
ワーカーを開始中...

Zeekのステータスをテスト

この時点で、Zeekはインストールされ、設定されています。次のコマンドを使用してZeekのステータスを確認できます。

zeekctl status

次の出力が得られます。

名前         タイプ    ホスト             ステータス    PID    開始時刻
zeek-logger  logger  209.23.10.179    実行中   58935  19 Jan 05:37:02
zeek-manager manager 209.23.10.179    実行中   58985  19 Jan 05:37:03
zeek-proxy   proxy   209.23.10.179    実行中   59035  19 Jan 05:37:05
zeek-worker  worker  209.23.10.179    実行中   59107  19 Jan 05:37:06
zeek-worker-lo worker  localhost        実行中   59104  19 Jan 05:37:06

Zeekは/opt/zeek/logs/current/ディレクトリにログを保存します。次のコマンドを使用してすべてのログファイルを確認できます。

ls -l /opt/zeek/logs/current/

次の出力が得られます。

total 72
-rw-r--r-- 1 root zeek  1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek  2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek   187 Jan 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek  6158 Jan 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek   666 Jan 19 05:37 reporter.log
-rw-r--r-- 1 root zeek   601 Jan 19 05:37 stats.log
-rw-r--r-- 1 root zeek     0 Jan 19 05:37 stderr.log
-rw-r--r-- 1 root zeek   204 Jan 19 05:37 stdout.log
-rw-r--r-- 1 root zeek   266 Jan 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek   960 Jan 19 05:37 weird.log

Zeekクラスターログを確認するには、次のコマンドを実行します。

tail /opt/zeek/logs/current/cluster.log

次の出力が得られます。

1674106627.672399   zeek-proxy  zeek-worker-loからの挨拶を受け取りました (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144   zeek-proxy  zeek-workerからの挨拶を受け取りました (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594   zeek-manager    zeek-worker-loからの挨拶を受け取りました (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439   zeek-manager    zeek-workerからの挨拶を受け取りました (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635   zeek-worker-lo  zeek-proxyからの挨拶を受け取りました (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358   zeek-worker-lo  zeek-managerからの挨拶を受け取りました (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564   zeek-worker-lo  zeek-loggerからの挨拶を受け取りました (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986   zeek-worker zeek-managerからの挨拶を受け取りました (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878   zeek-worker zeek-proxyからの挨拶を受け取りました (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099   zeek-worker zeek-loggerからの挨拶を受け取りました (405e0618-3699-5b85-ac39-0af2743c0aab)

Zeek接続ログを確認するには、次のコマンドを実行します。

tail /opt/zeek/logs/current/conn.log

次の出力が得られます。

1674106667.717311   Camkki2oVKl4J9dgpd  209.23.10.179   47762   209.23.10.179   56180   tcp -   -   -   -   OTH FF  0   CccC    0   0   0   0   -
1674106667.742276   CZ7aKU3nUfkjSSN5x6  209.23.10.179   56182   209.23.10.179   47762   tcp -   -   -   -   OTH FF  0   CcCc    0   0   0   0   -
1674106667.742332   Cd58V813jeHygHXQS2  209.23.10.179   56176   209.23.10.179   47762   tcp -   -   -   -   OTH FF  0   CcCc    0   0   0   0   -
1674106668.621860   CZlcm316EidXbp4aMj  209.23.10.179   41430   209.23.10.179   47761   tcp -   -   -   -   OTH FF  0   Cc  0   0   0   0   -

結論

おめでとうございます!Ubuntu 22.04サーバーにZeekセキュリティ監視ツールを正常にインストールしました。この投稿がネットワークのアーキテクチャを理解し、悪意のある活動を調査するのに役立つことを願っています。質問があればお気軽にお尋ねください。

Share: X/Twitter LinkedIn
#セキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。