bro/zeek的安装与使用过程 _容器

该博客主要的目的是将自己最近安装的bro/zeek进行整理，如有不对的地方希望大佬指正。其整理如下：
首先，我的安装环境是虚拟机.4 。
bro/zeek的安装方式有两种，一种是利用容器进行安装，一种是单独的安装方式。我将首先讲述第一种安装方式。
一、zeek-安装方式
1.安装，按照网站上的方式进行安装即可。
2.获取开源代码
git clone https://github.com/zeek/zeek-docker.git
这里可能会出现链接不上某个网址，因此需要更新源并且多试几次才能解决问题
3.进入git仓库
cd zeek-docker
4.生成镜像
make build-stamp_3.0.0
5.使用zeek进行解析
5.1 创建目录，便于存储后面需要解析的pcap文件，
mkdir /home/pcap
5.2 启动并且对于宿主机上的目录建立容器
sudo docker run -itd --rm --name lord_elmelloi -v /home/sj/pcap:/pcap broplatform/bro:3.0.0 /bin/bash
我已经完成了操作，因此会有这样信息显示。
-i 表示以交互式运行容器，
-t 表示容器启动后会进入其命令行。加入这两个参数后，容器创建就能等进去，即分配一个伪终端
– name 为创建容器命名
-v 表示目录映射关系(前者是宿主机目录，后者是映射到宿主机上的目录，即宿主机目录:容器中目录),可以使用多个-v做多个目录或文件映射。注意：最好做目录映射，在宿主机中做修改，然后共享到容器上
-d 在run后面加上-d参数，则会创建一个守护式容器在后台运行(这样创建容器后不会自动登录容器，如果只加-i -t两个参数，创建后就会自动进入容器)
-p 表示端口映射，前者是宿主机端口，后者是容器内的映射端口。可以使用多个-p做多个端口映射
-e 为容器设置环境变量
– =host表示将主机的网络环境映射到容器中，容器的网络与主机相同
5.3进入并使用zeek解析pcap文件
sudo docker exec -it lord_elmelloi /bin/bash -c 'cd /pcap && zeek -r 2018-08-02-Hancitor-malspam-infection-traffic.pcap'
5.4解析成功，可以进入/home/sj/pcap进行查看
接卸的结果如图所示。
二、zeek单独安装方式
1.安装依赖包
sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev
2.下载所需安装包
不建议使用git clone -- 命令安装，因为使用命令非常缓慢。直接从官方网站上下载安装包，官方网址如下：
【bro/zeek的安装与使用过程】3.使用命令安装
将自己下载的安装包进行解压，然后进入到解压后的文件夹下，使用命令依次操作：
./configuremakesudo make install
在安装的过程中可能遇到依赖不匹配，因此要使用各种办法解决依赖问题，命令窗口中都有显示，针对具体问题进行具体解决。
4.使用命令
（命令主要时用来管理，但具体运用到什么地方暂时还不清楚，本文主要是使用zeek命令来离线分析pcap数据，这里只是在使用zeek的过程中使用到所以进行说明）
4.1进入/usr/local/zeek/bin使用
sudo python zeekctl
（使用./会有相关的权限问题，进入中也可以发现是用写的）