a pcap-vel rögzített IP-csomagokat olyan eseménymotorba továbbítják, amely elfogadja vagy elutasítja őket. Az elfogadott csomagokat továbbítjuk a policy script interpreter.
az eseménymotor elemzi az élő vagy rögzített hálózati forgalmat vagy nyomkövetési fájlokat semleges események létrehozásához. Eseményeket generál, amikor” valami ” történik. Ezt kiválthatja a Zeek-folyamat, például közvetlenül az inicializálás után vagy közvetlenül a Zeek-folyamat befejezése előtt, valamint az elemzett hálózaton (vagy nyomkövetési fájlban) zajló valami, például a Zeek tanúja egy HTTP-kérésnek vagy egy új TCP-kapcsolatnak. A Zeek közös portokat és dinamikus protokoll detektálást (aláírásokat, valamint viselkedéselemzést) használ a hálózati protokollok értelmezéséhez. Az események politikai semlegesek, mivel nem jók vagy rosszak, hanem egyszerűen azt jelzik, hogy a szkript földet, hogy valami történt.
az eseményeket szakpolitikai szkriptek kezelik, amelyek elemzik az eseményeket a cselekvési politikák létrehozásához. A szkriptek a Turing complete Zeek scripting nyelven íródnak. Alapértelmezés szerint a Zeek egyszerűen információkat naplóz események fájlok (Zeek is támogatja események naplózása bináris kimenet); azonban beállítható úgy, hogy más az olyan intézkedések, mint küld egy e-mailt, növelve riasztást, a végrehajtó egy rendszer parancsot, frissítése belső metrikus meg is hívott egy másik Zeek forgatókönyvet. Az alapértelmezett viselkedés NetFlow-szerű kimenetet (conn log), valamint alkalmazás eseményinformációkat eredményez. Zeek szkriptek képesek olvasni az adatokat a külső fájlok, mint például a feketelisták, belül használható Zeek policy scriptek.
Zeek analizersedit
a legtöbb Zeek elemző a Zeek eseménymotorjában található, kísérő politikai szkripttel. A házirend szkriptet a felhasználó testreszabhatja. Az analizátorok alkalmazásréteg-dekódolást, anomáliadetektálást, aláírás-illesztést és kapcsolatelemzést végeznek. A Zeek-et úgy tervezték, hogy könnyen beépítsen további analizátorokat. Néhány alkalmazás réteg analizátorok tartalmazza Zeek HTTP, FTP, SMTP és DNS többek között. Más nem alkalmazás rétegelemzők közé tartoznak az analizátorok, amelyek észlelik a gazdaszervezet vagy a portszkennelést, a közvetítő gazdaszervezeteket és a syn-árvizeket. A Zeek magában foglalja az aláírásfelismerést is, valamint lehetővé teszi a Snort aláírások importálását.