Netzwerkmonitoring mit Zeek

Licht ins Dunkel

Wenn Sie darüber im Bilde sein möchten, was in Ihrem Netzwerk passiert, bleibt nur der Blick auf die Verbindungen der Geräte untereinander sowie mit Endpunkten im Internet. Gebräuchliche Werkzeuge wie tcpdump und Wireshark bieten sich zwar für gelegentliche Analysen an. Für ein dauerhaftes Netzwerkmonitoring und als Alternative zu Intrusion Detection Systemen stellen wir Ihnen mit Zeek ein interessantes Tool vor.
Die Umstellung auf Home Office und das Arbeiten von unterwegs stellt Unternehmen noch immer vor große Herausforderungen. Im Juli-Heft beleuchtet ... (mehr)

Der Überblick über die Aktivitäten der Geräte im Netzwerk ist eine der Routineaufgaben für IT-Administratoren. Der Markt unterschiedlicher Werkzeuge zur Netzwerküberwachung ist groß und die Anbieter übertreffen sich gegenseitig mit nützlichen Features, vor allem im Bereich der Aufarbeitung von Events und der manuellen Analyse.

Ein hidden Champion ist das bereits 1999 in der ersten Version veröffentlichte Zeek (damals noch unter dem Namen Bro) [1]. Das formulierte Ziel war die Entwicklung eines Werkzeugs zum Monitoring großer Datenmengen mit der einfachen Möglichkeit zur Analyse des Netzwerkverkehrs durch eigene Skripte, sogenannte "Policy Scripts". Die Umbenennung zu Zeek, angelehnt an das englische "seek" wie suchen, erfolgte gut 20 Jahre später.

Für die gängigen Protokolle im Netzwerk bietet Zeek bereits ein umfangreiches Arsenal an Skripten für das Monitoring an. Das Ergebnis der Überwachung schreibt Zeek in unterschiedlichen Logfiles auf die Festplatte. Von dort können Sie diese unmittelbar weiterverwenden und sie etwa in Ihr bestehendes Logmanagement oder ein installiertes SIEM einbinden. In regelmäßigen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022