Zeek

Supported OS Linux Mac OS

インテグレーションバージョン1.0.0
Zeek - Connections
Zeek - DHCP
Zeek - DNS
Zeek - Network Protocols
Zeek - Detection
Zeek - Diagnostics
Zeek - Files
Zeek - Network Observations

概要

Zeek はネットワーク セキュリティ監視のためのプラットフォームです。Zeek は観測内容を解釈し、高精度かつコンパクトなトランザクションログとファイルコンテンツを生成します。出力は完全にカスタマイズでき、ディスク上で手動レビューする場合や、セキュリティ情報イベント管理 (SIEM) などアナリスト向けのツールで分析する場合に適しています。

This integration ingests the following logs:

  • 接続ログ
  • DNS および DHCP ログ
  • ネットワークプロトコル
  • ファイル
  • 検知
  • その他のイベントタイプ

標準で用意されているダッシュボードを使えば、ネットワーク接続、DNS と DHCP のアクティビティ、詳細なネットワークプロトコル分析、ファイルおよび証明書の分析、セキュリティ検知と観測、コンプライアンス監視を詳細に可視化できます。

セットアップ

インストール

Zeek インテグレーションをインストールするには、次の Agent インストール コマンドを実行し、以下の手順に従ってください。詳細は Integration Management ドキュメントを参照してください。

: Agent バージョン >= 7.52.0 ではこの手順は不要です。

Linux コマンド

sudo -u dd-agent -- datadog-agent integration install datadog-zeek==1.0.0

オープンソース版 Zeek

  1. Zeek マシンに Agent をインストールしてください。
  2. JSON ログ出力用に Corelight Zeek プラグインをインストールしてください。
    /opt/zeek/bin/zkg install corelight/json-streaming-logs
  3. ZKG パッケージをロードしてください。
    echo -e "\n# Load ZKG packages\n@load packages" >> /opt/zeek/share/zeek/site/local.zeek
  4. Zeek を再起動してください。
    /opt/zeek/bin/zeekctl install

    /opt/zeek/bin/zeekctl restart

Corelight Zeek

  • Datadog Agent がインストールされ、稼働していることを確認してください。

構成

オープンソース版 Zeek

  1. Datadog Agent で、ログの収集はデフォルトで無効になっています。datadog.yaml で有効にします。

    logs_enabled: true

  2. Zeek ログの収集を開始するには、次の設定ブロックを zeek.d/conf.yaml ファイルに追加してください。

    利用可能な設定オプションについてはサンプル zeek.d/conf.yaml を参照してください。

     logs:
 - type: file
   path: /opt/zeek/logs/current/*.log
   exclude_paths:
     - /opt/zeek/logs/current/*.*.log
   service: zeek
   source: zeek

    : 監視中に未サポートまたは不要なログ ファイルが取り込まれないよう、exclude_paths パラメータに対象ログ ファイルのパスを含めてください。

     # 除外パスの例
 exclude_paths:
   - /opt/zeek/logs/current/ntlm.log
   - /opt/zeek/logs/current/radius.log
   - /opt/zeek/logs/current/rfb.log

  3. Agent を再起動します

Corelight Zeek

  1. デフォルトでは Datadog Agent でのログ収集は無効になっています。datadog.yaml で有効化してください:

    logs_enabled: true

  2. ログの収集を開始するには、この設定ブロックを zeek.d/conf.yaml ファイルに追加してください。

    logs:
- type: tcp
  port: <PORT>
  service: corelight
  source: zeek

  3. Agent を再起動します

  4. Corelight から Syslog メッセージを転送する設定

    1. Web ブラウザを開き、Corelight センサーの IP アドレスまたはホスト名にアクセスします。
    2. 管理者資格情報でログインします。
    3. Zeek 設定ページへ移動します。正確なパスはセンサーのファームウェア バージョンによって異なる場合があります。
    4. 「Zeek」または「Logging」に関連するオプションを探します。一般的なパス例:
    • Settings > Logging
    • Configuration > Zeek > Logging
    1. Zeek ログ用の syslog 出力を有効にするオプションを見つけ、チェックボックスまたはトグルをオンにします。
    2. Syslog サーバーの詳細を指定します:
      • Syslog server IP address: Zeek ログを送信する宛先 IP アドレス
      • Syslog port: Syslog サーバーが待ち受けているポート (通常は 514)
      • Facility: 使用する syslog ファシリティ
      • Severity level: 送信するイベントの最小重大度
    3. Save または Apply ボタンをクリックして設定を保存します。

検証

Agent の status サブコマンドを実行し、Checks セクションに zeek があることを確認します。

収集データ

Logs

Zeek インテグレーションは以下のログ タイプを収集します。

形式イベントタイプ
オープンソース版 Zeek - JSON 形式conn, dhcp, dns, ftp, http, ntp, rdp, smtp, snmp, socks, ssh, ssl, syslog, tunnel, files, pe, intel, notice, signatures, traceroute, known-certs, known-modbus, known-services, known-hosts, software, x509, dpd, weird, captureloss, reporter, ldap, ldap-search, smb-files, smb-mappings
Corelight Zeek - Syslog RFC 3164 (レガシー) 形式conn, dhcp, dns, ftp, http, ntp, rdp, smtp, snmp, socks, ssh, ssl, syslog, tunnel, files, pe, intel, notice, signatures, traceroute, known-certs, known-modbus, known-services, known-hosts, software, x509, dpd, weird, captureloss, reporter, ldap, ldap-search, smb-files, smb-mappings, conn-long, conn-red, encrypted-dns, generic-dns-tunnels, smtp-links, suricata-corelight

メトリクス

Zeek インテグレーションにはメトリクスは含まれていません。

イベント

Zeek インテグレーションにはイベントは含まれません。

サービスチェック

Zeek インテグレーションにはサービスチェックは含まれません。

トラブルシューティング

オープンソース版 Zeek:

ログファイルを監視している際に Permission denied エラーが表示される場合は、dd-agent ユーザーに対してファイルの読み取り権限を付与してください。

sudo chown -R dd-agent:dd-agent /opt/zeek/current/

Corelight Zeek:

Permission denied while port binding:

Agent ログでポートバインド中に Permission denied エラーが表示された場合は、以下の手順を参照してください。

  1. Binding to a port number under 1024 requires elevated permissions. Grant access to the port using the setcap command:

    sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent

  2. Verify the setup is correct by running the getcap command:

    sudo getcap /opt/datadog-agent/bin/agent/agent

    正しければ、次のように出力されます。

    /opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep

    Note: Re-run this setcap command every time you upgrade the Agent.

  3. Agent を再起動します

Data is not being collected:

Make sure that traffic is bypassed from the configured port if the firewall is enabled.

Port already in use:

Port Already in Use エラーが表示された場合は、以下の手順を参照してください。例として PORT-NO = 514:

Syslog を使用しているシステムで、Agent が Zeek ログをポート 514 で受信しようとすると、Agent ログに次のエラーが表示されることがあります: Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use

このエラーは、Syslog がデフォルトでポート 514 を使用しているために発生します。次のいずれか一つの方法で解決してください:

  • Syslog を無効化する
  • Agent が他の空きポートで待ち受けるように設定する

さらにサポートが必要な場合は Datadog サポートまでお問い合わせください。