# Zeek 来源配置
<a name="zeek-source-setup"></a>

## 与 Zeek 集成
<a name="zeek-integration"></a>

要将 Zeek 与 CloudWatch Logs 集成，必须同时配置来源和管道。首先，通过将 Amazon S3 和 Amazon SQS 配置为接收数据来设置 Zeek 来源。随后，配置 CloudWatch 管道，将数据来源中的数据摄取到 CloudWatch Logs 中。

## Amazon S3 与 Amazon SQS 设置说明
<a name="zeek-s3-sqs-setup"></a>

将 Zeek 配置为将日志发送到 Amazon S3 存储桶，需执行多个步骤，主要围绕设置 Amazon S3 存储桶、Amazon SQS 队列和 IAM 角色，然后配置 CloudWatch 管道。

**使用 Fluent Bit 配置 Zeek 日志**
+ 在 Zeek 主机上安装 Fluent Bit（一种轻量级日志收集器，用于读取日志文件并将其转发到 Amazon S3 等目标），然后对其进行配置以跟踪 Zeek 日志文件（例如 `/opt/zeek/logs/current/*.log`）。
+ 配置 Amazon 凭证（IAM 角色或 `aws configure`），以便 Fluent Bit 有权将对象上传到 Amazon S3 存储桶。
+ 更新 Fluent Bit 配置以使用 S3 输出插件，指定 Zeek 日志的存储桶名称、区域和 S3 密钥路径。
+ 启动并启用 Fluent Bit 服务，从而持续收集 Zeek 日志并将其上传到 Amazon S3 以供下游摄取。

**Amazon S3 和 Amazon SQS 配置**
+ 用于存储 Zeek 日志的 Amazon S3 存储桶应位于同一 Amazon 区域。
+ 为该 Amazon S3 存储桶配置事件通知，需专门针对“对象创建”事件进行设置。这些通知需发送到 Amazon SQS 队列。
+ Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 Amazon 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。

## 配置 CloudWatch 管道
<a name="zeek-pipeline-config"></a>

配置管道以从 Zeek 读取数据时，请将 Zeek 选择为数据来源。填写必填信息并创建管道后，所选的 CloudWatch Logs 日志组中将显示数据。

## 支持的开放式网络安全架构框架事件类
<a name="zeek-ocsf-support"></a>

此集成支持 OCSF 架构版本 v1.5.0，以及映射到 OCSF 类的事件。下表列出了支持的事件映射。


**Zeek OCSF 事件映射**  

| 事件名称 | OCSF 类 | 
| --- | --- | 
| conn | 网络活动（4001） | 
| DNS | DNS 活动（4003） | 
| http | HTTP 活动（4002） | 
| ssl | 网络活动（4001） | 
| ssh | SSH 活动（4007） | 
| Kerberos | 身份验证（3002） | 
| rdp | RDP 活动（4005） | 
| 文件 | 网络活动（4001） | 
| NOTICE | 检测调查发现（2004） | 
| known\_hosts | 基础事件（0） | 
| x509 | 网络活动（4001） | 
| ftp | FTP 活动（4008） | 
| SMTP | 电子邮件活动（4009） | 
| dhcp | DHCP 活动（4004） | 
| ntlm | 身份验证（3002） | 
| smb\_files | SMB 活动（4006） | 
| smb | SMB 活动（4006） | 
| dce\_rpc | SMB 活动（4006） | 
| ldap | 身份验证（3002） | 
| ldap\_search | 网络活动（4001） | 
| quic | 网络活动（4001） | 
| 隧道 | 隧道活动（4014） | 
| pe | 基础事件（0） | 
| weird | 基础事件（0） | 
| known\_services | 基础事件（0） | 
| 软件 | 软件清单信息（5020） | 
| reporter | 基础事件（0） | 

与任何 OCSF 映射转换不匹配的事件会自动传递并直接发送到配置的接收器，无需额外处理。