pcap 로 캡처 한 IP 패킷은 수락하거나 거부하는 이벤트 엔진으로 전송됩니다. 허용된 패킷은 정책 스크립트 인터프리터로 전달됩니다.
이벤트 엔진의 분석이나 녹화는 네트워크 트래픽 또는 추적 파일을 생성하는 중립 이벤트입니다. “무언가”가 발생하면 이벤트를 생성합니다. 이에 의해 트리거 될 수 있습니다 Zeek 프로세스와 같이 단지 초기화 이후 또는 종료 전에의 Zeek 프로세스뿐만 아니라,무언가에 의해 촬영 장소 네트워크에서(또는 추적 파일)분석과 같은 Zeek 을 목격하는 HTTP 요청 또는 새로운 TCP 연결합니다. Zeek 사용한 일반적인 포트와 동적 프로토콜 검색(관련 서명을 뿐만 아니라 동작 분석)추측 할 수 있도록 노력하고 있습니에서 해석하는 네트워크 프로토콜. 이벤트는 정책이 중립에서 그들이 좋거나 나쁘지 않지만 단순히 신호를 스크립트는 땅이 뭔가 일이 일어났습니다.
이벤트는 이벤트를 분석하여 작업 정책을 만드는 정책 스크립트에 의해 처리됩니다. 스크립트는 Turing complete Zeek 스크립팅 언어로 작성됩니다. 기본적으로 Zeek 단순히 로그에 대한 정보 이벤트 파일(Zeek 또한 기록합니다 이벤트에서 이진 출력);그러나 구성할 수 있을 같은 다른 작업을 이메일 전송을 제기,경고,시스템 명령 실행,업데이트한 내부 메트릭고도 부르는 또 다른 Zeek 스크립트입니다. 기본 동작은 NetFlow 와 같은 출력(conn 로그)뿐만 아니라 응용 프로그램 이벤트 정보를 생성합니다. Zeek 스크립트는 zeek 정책 스크립트 내에서 사용하기 위해 블랙리스트와 같은 외부 파일의 데이터를 읽을 수 있습니다.
Zeek analysersedit
대부분의 Zeek 분석기는 함께 제공되는 정책 스크립트와 함께 Zeek 의 이벤트 엔진에 있습니다. 정책 스크립트는 사용자가 사용자 지정할 수 있습니다. 분석기는 애플리케이션 계층 디코딩,이상 탐지,서명 일치 및 연결 분석을 수행합니다. Zeek 은 추가 분석기를 쉽게 통합 할 수 있도록 설계되었습니다. Zeek 에 포함 된 일부 응용 프로그램 계층 분석기는 HTTP,FTP,SMTP 및 DNS 입니다. 다른 비 응용 계층 분석기에는 호스트 또는 포트 스캔,중개 호스트 및 syn-fload 를 감지하는 분석기가 포함됩니다. Zeek 은 또한 서명 탐지를 포함하고 Snort 서명을 가져올 수 있습니다.