Segurança de Rede · 5 min read · Nov 25, 2025
Como Instalar a Ferramenta de Monitoramento de Segurança de Rede Zeek no Ubuntu 22.04
Zeek é uma ferramenta de monitoramento de segurança gratuita, de código aberto e líder mundial, usada como um sistema de detecção de intrusões em rede e analisador de tráfego de rede. Profissionais de segurança a utilizam para detectar assinaturas suspeitas e rastrear atividades de DNS, HTTP e FTP. Zeek funciona registrando a atividade da rede em um arquivo separado. Este arquivo contém todas as informações importantes, como tipos MIME, respostas do servidor, solicitações DNS, sessões HTTP, URIs solicitadas, certificados SSL e muito mais.
Este tutorial mostrará como instalar a ferramenta de segurança de rede Zeek no Ubuntu 22.04.
Pré-requisitos
- Um servidor executando Ubuntu 22.04 com um mínimo de 2 GB de RAM.
- Uma senha de root configurada no servidor.
Começando
Primeiro, você deve atualizar todos os pacotes do seu sistema para a versão mais recente. Você pode atualizar todos eles executando o seguinte comando.
apt update -y
apt upgrade -yApós atualizar todos os pacotes do sistema, instale alguns pacotes necessários usando o seguinte comando.
apt install curl gnupg2 wget -yAdicionar Repositório Zeek
Por padrão, o pacote Zeek não está incluído no repositório padrão do Ubuntu. Portanto, você precisará adicionar o repositório Zeek ao APT.
Primeiro, baixe e adicione a chave GPG do Zeek com o seguinte comando.
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpgEm seguida, adicione o repositório Zeek com o seguinte comando.
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.listEm seguida, atualize o cache do repositório usando o seguinte comando.
apt update -yInstalar Zeek
Agora você pode instalar a ferramenta Zeek executando apenas o seguinte comando.
apt install zeek -yDurante a instalação, você será solicitado a selecionar seu servidor de e-mail, conforme mostrado abaixo:
Selecione local only e pressione a tecla Enter. Você será solicitado a fornecer o nome do host do seu servidor de e-mail.
Digite seu nome de host e pressione a tecla Enter para finalizar a instalação.
Em seguida, você precisará adicionar o caminho de instalação do Zeek à sua variável de sistema. Você pode adicioná-lo com o seguinte comando.
echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrcEm seguida, ative a variável de sistema com o seguinte comando.
source ~/.bashrcAgora você pode verificar a versão do Zeek usando o seguinte comando:
zeek --versionVocê receberá a seguinte saída.
zeek version 5.1.1
Configurar o Servidor Zeek
Primeiro, edite o arquivo de configuração da rede do Zeek e defina sua rede.
nano /opt/zeek/etc/networks.cfgAqui estão as redes padrão. Você pode adicionar mais redes no final do arquivo.
10.0.0.0/8 Espaço de IP privado
172.16.0.0/12 Espaço de IP privado
192.168.0.0/16 Espaço de IP privado
Salve e feche o arquivo e depois edite o arquivo de configuração principal do Zeek.
nano /opt/zeek/etc/node.cfgComente as seguintes linhas:
#[zeek]
#type=standalone
#host=localhost
#interface=eth0
Em seguida, adicione as seguintes configurações no final do arquivo.
[zeek-logger]
type=logger
host=seu-ip-do-servidor
#
[zeek-manager]
type=manager
host=seu-ip-do-servidor
#
[zeek-proxy]
type=proxy
host=seu-ip-do-servidor
#
[zeek-worker]
type=worker
host=seu-ip-do-servidor
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo
Salve o arquivo e verifique a configuração do Zeek usando o seguinte comando.
zeekctl checkVocê receberá a seguinte saída.
Dica: Execute o comando zeekctl "deploy" para começar.
zeek-logger scripts estão ok.
zeek-manager scripts estão ok.
zeek-proxy scripts estão ok.
zeek-worker scripts estão ok.
zeek-worker-lo scripts estão ok.
Agora você pode implantar o Zeek usando o seguinte comando.
zeekctl deployVocê receberá a seguinte saída.
verificando configurações ...
instalando ...
criando diretórios de políticas ...
instalando políticas do site ...
generando cluster-layout.zeek ...
generando local-networks.zeek ...
generando zeekctl-config.zeek ...
generando zeekctl-config.sh ...
parando ...
parando trabalhadores ...
parando proxy ...
parando gerente ...
parando logger ...
iniciando ...
iniciando logger ...
iniciando gerente ...
iniciando proxy ...
iniciando trabalhadores ...
Testar o Status do Zeek
Neste ponto, o Zeek está instalado e configurado. Agora você pode verificar o status do Zeek com o seguinte comando.
zeekctl statusVocê receberá a seguinte saída.
Nome Tipo Host Status Pid Iniciado
zeek-logger logger 209.23.10.179 em execução 58935 19 Jan 05:37:02
zeek-manager manager 209.23.10.179 em execução 58985 19 Jan 05:37:03
zeek-proxy proxy 209.23.10.179 em execução 59035 19 Jan 05:37:05
zeek-worker worker 209.23.10.179 em execução 59107 19 Jan 05:37:06
zeek-worker-lo worker localhost em execução 59104 19 Jan 05:37:06
O Zeek armazena seus logs no diretório /opt/zeek/logs/current/. Você pode verificar todos os arquivos de log usando o seguinte comando.
ls -l /opt/zeek/logs/current/Você verá a seguinte saída.
total 72
-rw-r--r-- 1 root zeek 1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek 2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek 187 Jan 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek 6158 Jan 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek 666 Jan 19 05:37 reporter.log
-rw-r--r-- 1 root zeek 601 Jan 19 05:37 stats.log
-rw-r--r-- 1 root zeek 0 Jan 19 05:37 stderr.log
-rw-r--r-- 1 root zeek 204 Jan 19 05:37 stdout.log
-rw-r--r-- 1 root zeek 266 Jan 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek 960 Jan 19 05:37 weird.log
Para verificar o log do cluster do Zeek, execute o seguinte comando.
tail /opt/zeek/logs/current/cluster.logVocê receberá a seguinte saída.
1674106627.672399 zeek-proxy recebeu hello de zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144 zeek-proxy recebeu hello de zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594 zeek-manager recebeu hello de zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439 zeek-manager recebeu hello de zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635 zeek-worker-lo recebeu hello de zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358 zeek-worker-lo recebeu hello de zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564 zeek-worker-lo recebeu hello de zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986 zeek-worker recebeu hello de zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878 zeek-worker recebeu hello de zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099 zeek-worker recebeu hello de zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
Para verificar o log de conexão do Zeek, execute o seguinte comando.
tail /opt/zeek/logs/current/conn.logVocê receberá a seguinte saída.
1674106667.717311 Camkki2oVKl4J9dgpd 209.23.10.179 47762 209.23.10.179 56180 tcp - - - - OTH FF 0 CccC 0 0 0 0 -
1674106667.742276 CZ7aKU3nUfkjSSN5x6 209.23.10.179 56182 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106667.742332 Cd58V813jeHygHXQS2 209.23.10.179 56176 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106668.621860 CZlcm316EidXbp4aMj 209.23.10.179 41430 209.23.10.179 47761 tcp - - - - OTH FF 0 Cc 0 0 0 0 -
Conclusão
Parabéns! você instalou com sucesso a ferramenta de monitoramento de segurança Zeek no servidor Ubuntu 22.04. Espero que este post ajude a entender a arquitetura da rede e investigar qualquer atividade maliciosa. Sinta-se à vontade para me perguntar se você tiver alguma dúvida.
Receba novas postagens na sua caixa de entrada
Sem spam. Cancele a assinatura a qualquer momento.