zeek 是一个开源的网络分析框架，侧重于网络安全监控。与防火墙或入侵防御系统等传统安全工具不同，Zeek不是一种主动防御机制。相反，它在传感器上安静地运行——无论是硬件、软件、虚拟还是基于云实时分析网络流量。Zeek捕获高保真事务日志、文件内容和可定制的数据输出，非常适合安全分析师手动审查或集成到SIEM系统中。

    zeek 是一个开源的网络分析框架，侧重于网络安全监控。与防火墙或入侵防御系统等传统安全工具不同，Zeek不是一种主动防御机制。相反，它在传感器上安静地运行——无论是硬件、软件、虚拟还是基于云实时分析网络流量。Zeek捕获高保真事务日志、文件内容和可定制的数据输出，非常适合安全分析师手动审查或集成到SIEM系统中。

    zeek 的功能包括：

• zeek 的脚本语言支持针对站点定制监控策略

• 针对高性能网络

• 分析器支持许多协议，可以在应用层面实现高级语义分析

• 它保留了其所监控的网络的丰富的应用层统计信息

• zeek 能够与其他应用程序接口实时地交换信息

• 它的日志全面地记录了一切信息，并提供网络活动的高级存档

一、搭建环境：

1、安装依赖项

sudo apt-get install cmake makegcc g++ flex bison libpcap-dev libssl-devpython-dev swig zlib1g-dev

2、在官网下载最新版本zeek源码

本次演示版本下载6.0.8的，下载地址：https://zeek.org/get-zeek/

3、编译以及安装

./configuremakemakeinstall

4、编译之后执行make install

安装完毕

二、使用ZeekControl管理Zeek

3、在logs/current目录下即发现zeek运行默认记录的log：

4、在zeekctl输入stop结束以后log会以日期为文件夹打包存储：