PCAP: lla kaapatut IP-paketit siirretään tapahtumamoottorille, joka hyväksyy tai hylkää ne. Hyväksytyt paketit ohjataan policy script-tulkkiin.
tapahtumamoottori analysoi elävää tai tallennettua verkkoliikennettä tai jäljittää tiedostoja neutraalien tapahtumien luomiseksi. Se synnyttää tapahtumia, kun” jotain ” tapahtuu. Tämä voi käynnistyä Zeek-prosessilla, kuten juuri alustuksen jälkeen tai juuri ennen Zeek-prosessin päättymistä, sekä sillä, että verkossa (tai jäljitystiedostossa) tapahtuu jotain analysoitavaa, kuten Zeek todistaa HTTP-pyynnön tai uuden TCP-yhteyden. Zeek käyttää yhteisiä portteja ja dynaamista protokollan tunnistusta (mukaan lukien allekirjoitukset sekä käyttäytymisanalyysi) tehdäkseen parhaan arvauksen verkkoprotokollien tulkinnassa. Tapahtumat ovat poliittisesti neutraaleja siinä mielessä, että ne eivät ole hyviä tai huonoja, vaan ne vain viestittävät script Landille, että jotain on tapahtunut.
tapahtumia käsitellään policy scripteillä, jotka analysoivat tapahtumia toimintakäytäntöjen luomiseksi. Skriptit on kirjoitettu Turing complete Zeek-skriptauskielellä. Oletuksena Zeek yksinkertaisesti kirjaa tietoja tapahtumista tiedostoihin (Zeek tukee myös kirjaamista tapahtumia binäärilähtö); kuitenkin, se voidaan määrittää ryhtymään muihin toimiin, kuten lähettämällä sähköpostia, nostamalla hälytys, suorittamalla järjestelmän komento, päivittämällä sisäinen metric ja jopa kutsumalla toinen Zeek script. Oletuskäyttäytyminen tuottaa NetFlow – kaltaisen ulostulon (conn log) sekä sovellustapahtumatiedot. Zeek-skriptit pystyvät lukemaan tietoja ulkoisista tiedostoista, kuten mustista listoista, käytettäväksi Zeek-politiikan skripteissä.
Zeek analyzersEdit
useimmat Zeek-analysaattorit sijaitsevat Zeekin tapahtumamoottorissa, johon on liitetty policy script. Käyttäjä voi räätälöidä politiikan komentosarjan. Analysaattorit suorittavat sovelluskerroksen dekoodauksen, poikkeamien havaitsemisen, allekirjoitusten sovittamisen ja yhteysanalyysin. Zeek on suunniteltu helposti sisällyttämään lisää analysaattoreita. Joitakin Zeekin mukana tulevia sovelluskerroksen analysaattoreita ovat mm.HTTP, FTP, SMTP ja DNS. Muita ei-sovelluskerroksen analysaattoreita ovat analysaattorit, jotka havaitsevat isäntä-tai porttiskannaukset, välittäjäisännät ja syn-tulvat. Zeek sisältää myös allekirjoitusten tunnistuksen ja mahdollistaa Snort-allekirjoitusten tuonnin.