IP pakety zachycené pomocí pcap jsou přeneseny do modulu událostí, který je přijímá nebo odmítá. Přijaté pakety jsou předány interpretovi skriptu zásad.
motor událostí analyzuje živý nebo zaznamenaný síťový provoz nebo trasovací soubory pro generování neutrálních událostí. Generuje události, když se „něco“ stane. To může být vyvolána Zeek proces, jako právě po inicializaci, nebo těsně před ukončením Zeek proces, stejně jako tím, že se něco odehrává na síti (nebo trasovací soubor), která jsou analyzována, jako Zeek svědky požadavek HTTP nebo nové TCP spojení. Zeek používá běžné porty a dynamickou detekci protokolu (zahrnující podpisy i analýzu chování), aby co nejlépe odhadl interpretaci síťových protokolů. Události jsou politicky neutrální v tom, že nejsou dobré nebo špatné, ale jednoduše signalizují zemi skriptů, že se něco stalo.
události jsou zpracovávány skripty zásad, které analyzují události a vytvářejí zásady akcí. Skripty jsou psány ve skriptovacím jazyce Turing complete Zeek. Ve výchozím nastavení Zeek jednoduše zaznamenává informace o akcích na soubory (Zeek také podporuje protokolování událostí v binární výstup); nicméně, to může být nakonfigurován tak, aby přijmout další opatření, jako je odeslání e-mailu, zvyšování upozornění, vykonávající systém velení, aktualizaci vnitřní metrické a dokonce volat další Zeek scénář. Výchozí chování vytváří výstup podobný NetFlow (protokol conn) a informace o událostech aplikace. Skripty Zeek jsou schopny číst data z externích souborů, jako jsou černé listiny, pro použití v skriptech zásad Zeek.
Zeek analyzersEdit
většina analyzátorů Zeek je umístěna v modulu událostí Zeek s doprovodným skriptem zásad. Skript zásad lze přizpůsobit uživatelem. Analyzátory provádějí dekódování aplikační vrstvy, detekci anomálií, shodu podpisů a analýzu připojení. Zeek byl navržen tak, aby snadno začlenit další analyzátory. Některé analyzátory aplikačních vrstev, které jsou součástí Zeek, jsou mimo jiné HTTP, FTP, SMTP a DNS. Jiné non-aplikační vrstvy analyzátory zahrnují analyzátory, které detekují hostitele nebo port skenování, zprostředkujících hostitelů a syn-povodně. Zeek také zahrnuje detekci podpisů a umožňuje import Snort podpisů.