本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Zeek 的來源組態
## 與 Zeek 整合
若要將 Zeek 與 CloudWatch Logs 整合,您必須同時設定來源和管道。首先,設定 Amazon S3 和 Amazon SQS 來接收資料,以設定 Zeek 來源。然後,設定 CloudWatch 管道,將來源中的資料擷取至 CloudWatch Logs。
## 設定 Amazon S3 和 Amazon SQS 的說明
使用 Fluent Bit 設定 Zeek 將日誌傳送至 Amazon S3 儲存貯體涉及幾個步驟,主要專注於設定 Amazon S3 儲存貯體、Amazon SQS 佇列、IAM 角色,然後設定 CloudWatch Pipeline。
**使用 Fluent Bit 設定 Zeek 日誌**
+ 在 Zeek 主機上安裝 Fluent Bit (讀取日誌檔案並將其轉送至 Amazon S3 等目的地的輕量型日誌收集器),並將其設定為結尾 Zeek 日誌檔案 (例如 `/opt/zeek/logs/current/*.log`)。
+ 設定 AWS 登入資料 (IAM 角色或 `aws configure`),讓 Fluent Bit 具有將物件上傳至 Amazon S3 儲存貯體的許可。
+ 更新 Fluent Bit 組態以使用 S3 輸出外掛程式,為 Zeek 日誌指定儲存貯體名稱、區域和 S3 金鑰路徑。
+ 啟動並啟用 Fluent Bit 服務以持續收集 Zeek 日誌,並將其上傳至 Amazon S3 以進行下游擷取。
**Amazon S3 和 Amazon SQS 組態**
+ 存放 Zeek 日誌的 Amazon S3 儲存貯體應位於相同的 AWS 區域。
+ 設定 Amazon S3 儲存貯體以建立事件通知,特別是「物件建立」事件。這些通知應傳送至 Amazon SQS 佇列。
+ 在與 Amazon S3 儲存貯體相同的區域中建立 Amazon SQS 佇列。 AWS Amazon S3 當新的日誌檔案新增至 Amazon S3 儲存貯體時,此佇列會收到通知。
## 設定 CloudWatch 管道
設定管道從 Zeek 讀取資料時,請選擇 Zeek 作為資料來源。填入必要資訊並建立管道後,資料將可在選取的 CloudWatch Logs 日誌群組中使用。
## 支援的開放式網路安全結構描述架構事件類別
此整合支援 OCSF 結構描述版本 v1.5.0 和對應至多個 OCSF 類別的事件。下表列出支援的事件映射。
**Zeek OCSF 事件映射**
| 事件名稱 | OCSF 類別 |
| --- | --- |
| 連接 | 網路活動 (4001) |
| dns | DNS 活動 (4003) |
| http | HTTP 活動 (4002) |
| ssl | 網路活動 (4001) |
| SSH | SSH 活動 (4007) |
| 角化 | 身分驗證 (3002) |
| rdp | RDP 活動 (4005) |
| files | 網路活動 (4001) |
| 通知 | 偵測調查結果 (2004) |
| known\_hosts | 基本事件 (0) |
| x509 | 網路活動 (4001) |
| ftp | FTP 活動 (4008) |
| smtp | 電子郵件活動 (4009) |
| dhcp | DHCP 活動 (4004) |
| ntlm | 身分驗證 (3002) |
| smb\_files | SMB 活動 (4006) |
| smb | SMB 活動 (4006) |
| dce\_rpc | SMB 活動 (4006) |
| ldap | 身分驗證 (3002) |
| ldap\_search | 網路活動 (4001) |
| quic | 網路活動 (4001) |
| 通道 | 通道活動 (4014) |
| pe | 基本事件 (0) |
| 奇怪 | 基本事件 (0) |
| known\_services | 基本事件 (0) |
| software | 軟體庫存資訊 (5020) |
| reporter | 基本事件 (0) |
不符合任何 OCSF 映射轉換的事件會自動傳遞,並直接傳送到設定的接收器,無需額外處理。