Безопасность · 5 min read · Nov 25, 2025

Как установить инструмент мониторинга сетевой безопасности Zeek на Ubuntu 22.04

Zeek — это бесплатный, открытый и ведущий в мире инструмент мониторинга безопасности, используемый в качестве системы обнаружения вторжений в сеть и анализатора сетевого трафика. Специалисты по безопасности используют его для обнаружения подозрительных сигнатур и отслеживания активности DNS, HTTP и FTP. Zeek работает, записывая сетевую активность в отдельный файл. Этот файл содержит всю важную информацию, такую как MIME-типы, ответы серверов, запросы DNS, HTTP-сессии, запрашиваемые URI, SSL-сертификаты и многое другое.

Этот учебник покажет вам, как установить инструмент сетевой безопасности Zeek на Ubuntu 22.04.

Предварительные требования

  • Сервер с установленной Ubuntu 22.04 и минимум 2 ГБ ОЗУ.
  • Пароль root, настроенный на сервере.

Начало работы

Сначала вам необходимо обновить все пакеты вашей системы до актуальной версии. Вы можете обновить их все, выполнив следующую команду.

apt update -y  
apt upgrade -y

После обновления всех системных пакетов установите некоторые необходимые пакеты, используя следующую команду.

apt install curl gnupg2 wget -y

Добавить репозиторий Zeek

По умолчанию пакет Zeek не включен в стандартный репозиторий Ubuntu. Поэтому вам нужно будет добавить репозиторий Zeek в APT.

Сначала загрузите и добавьте GPG-ключ Zeek с помощью следующей команды.

curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg

Затем добавьте репозиторий Zeek с помощью следующей команды.

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list

Далее обновите кэш репозитория, используя следующую команду.

apt update -y

Установить Zeek

Теперь вы можете установить инструмент Zeek, просто выполнив следующую команду.

apt install zeek -y

Во время установки вам будет предложено выбрать ваш почтовый сервер, как показано ниже:

Конфигурация Postfix для Zeek

Выберите только локальный и нажмите клавишу Enter. Вам будет предложено ввести имя вашего почтового сервера.

Установите имя хоста системы для Zeek

Введите ваше имя хоста и нажмите клавишу Enter, чтобы завершить установку.

Затем вам нужно будет добавить путь установки Zeek в вашу системную переменную. Вы можете добавить его с помощью следующей команды.

echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc

Затем активируйте системную переменную с помощью следующей команды.

source ~/.bashrc

Теперь вы можете проверить версию Zeek, используя следующую команду:

zeek --version

Вы получите следующий вывод.

zeek version 5.1.1

Настройка сервера Zeek

Сначала отредактируйте файл конфигурации сети Zeek и определите вашу сеть.

nano /opt/zeek/etc/networks.cfg

Вот сети по умолчанию. Вы можете добавить больше сетей в конце файла.

10.0.0.0/8          Частное IP пространство
172.16.0.0/12       Частное IP пространство
192.168.0.0/16      Частное IP пространство

Сохраните и закройте файл, затем отредактируйте основной файл конфигурации Zeek.

nano /opt/zeek/etc/node.cfg

Закомментируйте следующие строки:

#[zeek]
#type=standalone
#host=localhost
#interface=eth0

Затем добавьте следующие конфигурации в конце файла.

[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo

Сохраните файл, затем проверьте конфигурацию Zeek с помощью следующей команды.

zeekctl check

Вы получите следующий вывод.

Hint: Run the zeekctl "deploy" command to get started.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.

Теперь вы можете развернуть Zeek, используя следующую команду.

zeekctl deploy

Вы получите следующий вывод.

checking configurations ...
installing ...
creating policy directories ...
installing site policies ...
generating cluster-layout.zeek ...
generating local-networks.zeek ...
generating zeekctl-config.zeek ...
generating zeekctl-config.sh ...
stopping ...
stopping workers ...
stopping proxy ...
stopping manager ...
stopping logger ...
starting ...
starting logger ...
starting manager ...
starting proxy ...
starting workers ...

Проверка статуса Zeek

На данный момент Zeek установлен и настроен. Теперь вы можете проверить статус Zeek с помощью следующей команды.

zeekctl status

Вы получите следующий вывод.

Name         Type    Host             Status    Pid    Started
zeek-logger  logger  209.23.10.179    running   58935  19 Янв 05:37:02
zeek-manager manager 209.23.10.179    running   58985  19 Янв 05:37:03
zeek-proxy   proxy   209.23.10.179    running   59035  19 Янв 05:37:05
zeek-worker  worker  209.23.10.179    running   59107  19 Янв 05:37:06
zeek-worker-lo worker  localhost        running   59104  19 Янв 05:37:06

Zeek хранит свои журналы в каталоге /opt/zeek/logs/current/. Вы можете проверить все файлы журналов, используя следующую команду.

ls -l /opt/zeek/logs/current/

Вы увидите следующий вывод.

total 72
-rw-r--r-- 1 root zeek  1735 Янв 19 05:37 broker.log
-rw-r--r-- 1 root zeek  2166 Янв 19 05:37 cluster.log
-rw-r--r-- 1 root zeek   187 Янв 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek  6158 Янв 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Янв 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek   666 Янв 19 05:37 reporter.log
-rw-r--r-- 1 root zeek   601 Янв 19 05:37 stats.log
-rw-r--r-- 1 root zeek     0 Янв 19 05:37 stderr.log
-rw-r--r-- 1 root zeek   204 Янв 19 05:37 stdout.log
-rw-r--r-- 1 root zeek   266 Янв 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek   960 Янв 19 05:37 weird.log

Чтобы проверить журнал кластера Zeek, выполните следующую команду.

tail /opt/zeek/logs/current/cluster.log

Вы получите следующий вывод.

1674106627.672399   zeek-proxy  got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144   zeek-proxy  got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594   zeek-manager    got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439   zeek-manager    got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635   zeek-worker-lo  got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358   zeek-worker-lo  got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564   zeek-worker-lo  got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986   zeek-worker got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878   zeek-worker got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099   zeek-worker got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)

Чтобы проверить журнал соединений Zeek, выполните следующую команду.

tail /opt/zeek/logs/current/conn.log

Вы получите следующий вывод.

1674106667.717311   Camkki2oVKl4J9dgpd  209.23.10.179   47762   209.23.10.179   56180   tcp -   -   -   -   OTH FF  0   CccC    0   0   0   0   -
1674106667.742276   CZ7aKU3nUfkjSSN5x6  209.23.10.179   56182   209.23.10.179   47762   tcp -   -   -   -   OTH FF  0   CcCc    0   0   0   0   -
1674106667.742332   Cd58V813jeHygHXQS2  209.23.10.179   56176   209.23.10.179   47762   tcp -   -   -   -   OTH FF  0   CcCc    0   0   0   0   -
1674106668.621860   CZlcm316EidXbp4aMj  209.23.10.179   41430   209.23.10.179   47761   tcp -   -   -   -   OTH FF  0   Cc  0   0   0   0   -

Заключение

Поздравляем! Вы успешно установили инструмент мониторинга безопасности Zeek на сервер Ubuntu 22.04. Надеюсь, этот пост поможет вам понять архитектуру сети и расследовать любые злонамеренные действия. Не стесняйтесь задавать мне вопросы, если у вас есть какие-либо вопросы.

Share: X/Twitter LinkedIn
#Безопасность

Get new posts in your inbox

No spam. Unsubscribe anytime.