네트워크 보안 · 4 min read · Nov 25, 2025
우분투 22.04에 Zeek 네트워크 보안 모니터링 도구 설치하는 방법
Zeek는 네트워크 침입 탐지 시스템 및 네트워크 트래픽 분석기로 사용되는 무료 오픈 소스 세계 최고의 보안 모니터링 도구입니다. 보안 전문가들은 이를 사용하여 의심스러운 서명을 감지하고 DNS, HTTP 및 FTP 활동을 추적합니다. Zeek는 네트워크 활동을 별도의 파일에 기록하여 작동합니다. 이 파일에는 MIME 유형, 서버 응답, DNS 요청, HTTP 세션, 요청된 URI, SSL 인증서 등과 같은 모든 중요한 정보가 포함됩니다.
이 튜토리얼에서는 우분투 22.04에 Zeek 네트워크 보안 도구를 설치하는 방법을 보여줍니다.
전제 조건
- 최소 2GB RAM이 장착된 우분투 22.04 서버.
- 서버에 루트 비밀번호가 설정되어 있어야 합니다.
시작하기
먼저, 모든 시스템 패키지를 최신 버전으로 업데이트해야 합니다. 다음 명령어를 실행하여 모든 패키지를 업데이트할 수 있습니다.
apt update -y
apt upgrade -y모든 시스템 패키지를 업데이트한 후, 다음 명령어를 사용하여 필요한 패키지를 설치합니다.
apt install curl gnupg2 wget -yZeek 저장소 추가
기본적으로 Zeek 패키지는 우분투 기본 저장소에 포함되어 있지 않습니다. 따라서 Zeek 저장소를 APT에 추가해야 합니다.
먼저, 다음 명령어로 Zeek GPG 키를 다운로드하고 추가합니다.
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg다음으로, 다음 명령어로 Zeek 저장소를 추가합니다.
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list다음으로, 다음 명령어를 사용하여 저장소 캐시를 업데이트합니다.
apt update -yZeek 설치
이제 다음 명령어를 실행하여 Zeek 도구를 설치할 수 있습니다.
apt install zeek -y설치 중에 아래와 같이 메일 서버를 선택하라는 메시지가 표시됩니다:
로컬 전용을 선택하고 Enter 키를 누릅니다. 메일 서버 호스트 이름을 제공하라는 메시지가 표시됩니다.
호스트 이름을 입력하고 Enter 키를 눌러 설치를 완료합니다.
다음으로, Zeek 설치 경로를 시스템 변수에 추가해야 합니다. 다음 명령어로 추가할 수 있습니다.
echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc다음으로, 다음 명령어로 시스템 변수를 활성화합니다.
source ~/.bashrc이제 다음 명령어를 사용하여 Zeek 버전을 확인할 수 있습니다:
zeek --version다음과 같은 출력이 표시됩니다.
zeek version 5.1.1Zeek 서버 구성
먼저, Zeek 네트워크 구성 파일을 편집하고 네트워크를 정의합니다.
nano /opt/zeek/etc/networks.cfg기본 네트워크는 다음과 같습니다. 파일 끝에 더 많은 네트워크를 추가할 수 있습니다.
10.0.0.0/8 Private IP space
172.16.0.0/12 Private IP space
192.168.0.0/16 Private IP space파일을 저장하고 닫은 후, Zeek 주요 구성 파일을 편집합니다.
nano /opt/zeek/etc/node.cfg다음 줄을 주석 처리합니다:
#[zeek]
#type=standalone
#host=localhost
#interface=eth0그런 다음, 파일 끝에 다음 구성을 추가합니다.
[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo파일을 저장한 후, 다음 명령어를 사용하여 Zeek 구성을 확인합니다.
zeekctl check다음과 같은 출력이 표시됩니다.
Hint: Run the zeekctl "deploy" command to get started.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.이제 다음 명령어를 사용하여 Zeek를 배포할 수 있습니다.
zeekctl deploy다음과 같은 출력이 표시됩니다.
checking configurations ...
installing ...
creating policy directories ...
installing site policies ...
generating cluster-layout.zeek ...
generating local-networks.zeek ...
generating zeekctl-config.zeek ...
generating zeekctl-config.sh ...
stopping ...
stopping workers ...
stopping proxy ...
stopping manager ...
stopping logger ...
starting ...
starting logger ...
starting manager ...
starting proxy ...
starting workers ...Zeek 상태 테스트
이 시점에서 Zeek가 설치되고 구성되었습니다. 이제 다음 명령어로 Zeek 상태를 확인할 수 있습니다.
zeekctl status다음과 같은 출력이 표시됩니다.
Name Type Host Status Pid Started
zeek-logger logger 209.23.10.179 running 58935 19 Jan 05:37:02
zeek-manager manager 209.23.10.179 running 58985 19 Jan 05:37:03
zeek-proxy proxy 209.23.10.179 running 59035 19 Jan 05:37:05
zeek-worker worker 209.23.10.179 running 59107 19 Jan 05:37:06
zeek-worker-lo worker localhost running 59104 19 Jan 05:37:06Zeek는 /opt/zeek/logs/current/ 디렉토리에 로그를 저장합니다. 다음 명령어를 사용하여 모든 로그 파일을 확인할 수 있습니다.
ls -l /opt/zeek/logs/current/다음과 같은 출력이 표시됩니다.
total 72
-rw-r--r-- 1 root zeek 1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek 2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek 187 Jan 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek 6158 Jan 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek 666 Jan 19 05:37 reporter.log
-rw-r--r-- 1 root zeek 601 Jan 19 05:37 stats.log
-rw-r--r-- 1 root zeek 0 Jan 19 05:37 stderr.log
-rw-r--r-- 1 root zeek 204 Jan 19 05:37 stdout.log
-rw-r--r-- 1 root zeek 266 Jan 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek 960 Jan 19 05:37 weird.logZeek 클러스터 로그를 확인하려면 다음 명령어를 실행합니다.
tail /opt/zeek/logs/current/cluster.log다음과 같은 출력이 표시됩니다.
1674106627.672399 zeek-proxy got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144 zeek-proxy got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594 zeek-manager got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439 zeek-manager got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635 zeek-worker-lo got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358 zeek-worker-lo got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564 zeek-worker-lo got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986 zeek-worker got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878 zeek-worker got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099 zeek-worker got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)Zeek 연결 로그를 확인하려면 다음 명령어를 실행합니다.
tail /opt/zeek/logs/current/conn.log다음과 같은 출력이 표시됩니다.
1674106667.717311 Camkki2oVKl4J9dgpd 209.23.10.179 47762 209.23.10.179 56180 tcp - - - - OTH FF 0 CccC 0 0 0 0 -
1674106667.742276 CZ7aKU3nUfkjSSN5x6 209.23.10.179 56182 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106667.742332 Cd58V813jeHygHXQS2 209.23.10.179 56176 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106668.621860 CZlcm316EidXbp4aMj 209.23.10.179 41430 209.23.10.179 47761 tcp - - - - OTH FF 0 Cc 0 0 0 0 -결론
축하합니다! 우분투 22.04 서버에 Zeek 보안 모니터링 도구를 성공적으로 설치했습니다. 이 게시물이 네트워크 아키텍처를 이해하고 악의적인 활동을 조사하는 데 도움이 되기를 바랍니다. 질문이 있으면 언제든지 문의해 주세요.
새 게시물을 받은 편지함에서 받기
스팸은 없습니다. 언제든지 구독 해지 가능합니다.