IP-pakker fanget med pcap overføres til en hendelsesmotor som aksepterer eller avviser dem. De godkjente pakkene videresendes til tolken for policyskript.hendelsesmotoren analyserer live eller innspilt nettverkstrafikk eller sporingsfiler for å generere nøytrale hendelser. Det genererer hendelser når» noe » skjer. Dette kan utløses av Zeek-prosessen, for eksempel like etter initialisering eller like før avslutning Av Zeek-prosessen, samt ved at noe foregår på nettverket (eller sporfilen) som analyseres, for Eksempel Zeek vitne TIL EN HTTP-forespørsel eller en ny TCP-tilkobling. Zeek bruker vanlige porter og dynamisk protokolldeteksjon (involverer signaturer samt atferdsanalyse) for å gjøre en best mulig gjetning ved tolkning av nettverksprotokoller. Hendelser er politisk nøytrale ved at de ikke er gode eller dårlige, men bare signaler til skriptland at noe skjedde.
Hendelser håndteres av policyskript, som analyserer hendelser for å opprette handlingspolicyer. Skriptene er skrevet I Turing complete Zeek skriptspråk. Som standard Zeek logger bare informasjon om hendelser til filer (Zeek støtter også logging hendelser i binær utgang); det kan imidlertid konfigureres til å ta andre handlinger som å sende en e-post, heve et varsel, utføre en systemkommando, oppdatere en intern metrisk og til og med ringe et Annet Zeek-skript. Standard virkemåten produserer NetFlow-lignende utgang (conn logg) samt programhendelsesinformasjon. Zeek scripts er i stand til å lese i data fra eksterne filer, for eksempel svartelister, for bruk I Zeek politikk skript.
Zeek analysatorerrediger
De Fleste Zeek analysatorer er plassert I Zeeks hendelsesmotor med et tilhørende policyskript. Policyskriptet kan tilpasses av brukeren. Analysatorene utfører dekoding av applikasjonslag, avviksdeteksjon, signaturmatching og tilkoblingsanalyse. Zeek har blitt designet for å enkelt innlemme flere analysatorer. Noen applikasjonslag analysatorer som følger Med Zeek ER HTTP, FTP, SMTP og DNS blant andre. Andre ikke-applikasjonslagsanalysatorer inkluderer analysatorer som oppdager verts-eller portskanninger, mellomstore verter og syn-flom. Zeek inkluderer også signatur deteksjon og tillater import Av Snort signaturer.