Los paquetes IP capturados con pcap se transfieren a un motor de eventos que los acepta o rechaza. Los paquetes aceptados se reenvían al intérprete de scripts de directivas.
El motor de eventos analiza el tráfico de red en vivo o grabado o los archivos de seguimiento para generar eventos neutrales. Genera eventos cuando «algo» sucede. Esto puede ser activado por el proceso Zeek, como justo después de la inicialización o justo antes de la terminación del proceso Zeek, así como por algo que tiene lugar en la red (o archivo de seguimiento) que se está analizando, como Zeek presenciando una solicitud HTTP o una nueva conexión TCP. Zeek utiliza puertos comunes y detección de protocolos dinámicos (que involucran firmas, así como análisis de comportamiento) para hacer una mejor conjetura en la interpretación de protocolos de red. Los eventos son neutrales en cuanto a políticas en el sentido de que no son buenos o malos, sino que simplemente indican que algo sucedió.Los eventos
son manejados por scripts de políticas, que analizan eventos para crear políticas de acción. Los scripts están escritos en el lenguaje de scripting Zeek completo de Turing. De forma predeterminada, Zeek simplemente registra información sobre eventos en archivos( Zeek también admite el registro de eventos en la salida binaria); sin embargo, se puede configurar para realizar otras acciones, como enviar un correo electrónico, generar una alerta, ejecutar un comando del sistema, actualizar una métrica interna e incluso llamar a otro script Zeek. El comportamiento predeterminado produce una salida similar a NetFlow (registro de control), así como información de eventos de la aplicación. Los scripts Zeek pueden leer datos de archivos externos, como listas negras, para usarlos dentro de los scripts de políticas Zeek.
Analizadores Zeekeditar
La mayoría de los analizadores Zeek se encuentran en el motor de eventos de Zeek con un script de políticas adjunto. El script de directiva puede ser personalizado por el usuario. Los analizadores realizan decodificación de la capa de aplicación, detección de anomalías, coincidencia de firmas y análisis de conexiones. Zeek ha sido diseñado para incorporar fácilmente analizadores adicionales. Algunos analizadores de capa de aplicación incluidos con Zeek son HTTP, FTP, SMTP y DNS, entre otros. Otros analizadores de capa sin aplicación incluyen analizadores que detectan escaneos de host o puerto, hosts intermedios e inundaciones syn. Zeek también incluye detección de firmas y permite la importación de firmas Snort.