activecm/zeek Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
activecm/zeekactivecm
在Docker容器中运行单系统Zeek集群,支持通过zeekctl管理多个Zeek进程,提供配置向导、自动进程监控、包管理器及性能优化(如AF_Packet插件和ethtool接口调整),适用于网络流量分析与监控场景。
下载次数: 0状态:社区镜像维护者:activecm仓库类型:镜像最近更新:1 年前
activecm/zeek Docker镜像文档
镜像概述和主要用途
本镜像用于在Docker容器中运行单系统Zeek集群,基于blacktop/zeek:zeekctl但专注于通过zeekctl管理多个Zeek进程。它提供了一系列实用功能,简化Zeek集群的部署、配置和维护,适用于需要高效网络流量分析与监控的场景。
核心功能和特性
- 配置向导:可生成
node.cfg集群配置文件 - 自动启动与诊断:启动时自动运行
zeekctl,失败时打印诊断报告 - 进程监控:Cron定期检查并重启崩溃的Zeek进程
- 包管理支持:集成Zeek包管理器,方便安装插件
- 性能优化:默认安装并启用AF_Packet插件,通过
ethtool禁用部分接口特性以提升性能
支持的Docker标签
标签对应镜像中安装的Zeek版本,Zeek当前有两个发布轨道:feature和lts。
latest,3.2,3.2.1(feature轨道)lts,3,3.0,3.0.10(lts轨道)
快速启动
前提条件
需先安装Docker。Linux系统可通过以下命令快速安装:
bashcurl -fsSL [***] | sh -
其他系统请参考Docker官方安装指南。
基本使用
使用run.sh脚本快速启动Zeek:
bash./run.sh
自定义日志和配置路径
bash# 将日志存储在/opt/zeek/logs ./run.sh /opt/zeek/logs # 将日志存储在/opt/zeek/logs,配置文件使用/opt/zeek/etc/node.cfg ./run.sh /opt/zeek/logs /opt/zeek/etc/node.cfg
自定义配置与使用
配置生成
若没有node.cfg文件,可通过以下命令生成:
bashtouch node.cfg docker run --rm -it --network host \ --mount source=$(pwd)/node.cfg,destination=/node.cfg,type=bind \ activecm/zeek \ zeekcfg -o /node.cfg --type afpacket
启动容器
bashdocker run --cap-add net_raw --cap-add net_admin --network host --detach \ --name zeek \ --restart always \ --mount source=/etc/localtime,destination=/etc/localtime,type=bind,readonly \ --mount source=YOURLOGS,destination=/usr/local/zeek/logs/,type=bind \ --mount source=YOURCFG,destination=/usr/local/zeek/etc/node.cfg,type=bind \ activecm/zeek
参数说明:
YOURLOGS:主机系统中存储Zeek日志的绝对路径YOURCFG:node.cfg配置文件的绝对路径
示例:
bashdocker run --cap-add net_raw --cap-add net_admin --network host --detach \ --name zeek \ --restart always \ --mount source=/etc/localtime,destination=/etc/localtime,type=bind,readonly \ --mount source=$(pwd)/logs,destination=/usr/local/zeek/logs/,type=bind \ --mount source=$(pwd)/node.cfg,destination=/usr/local/zeek/etc/node.cfg,type=bind \ activecm/zeek
可自定义的挂载点
/usr/local/zeek/logs/:Zeek日志归档目录/usr/local/zeek/spool/:Zeek日志临时目录(归档前的"当前"日志)/usr/local/zeek/etc/node.cfg:集群配置文件(需至少指定嗅探网络接口)/usr/local/zeek/etc/networks.cfg:内部网络范围定义(默认包含RFC1918网段)/usr/local/zeek/etc/zeekctl.cfg:zeekctl设置(如无专用嗅探接口,需禁用interfacesetup.enabled)/usr/local/zeek/share/zeek/site/local.zeek:Zeek脚本加载配置
停止容器
bashdocker stop zeek -t 90
说明:-t 90确保Zeek有足够时间轮转和归档日志(默认10秒可能导致日志丢失),日志较大时可适当延长时间。
更新镜像
bashdocker pull activecm/zeek # 需重建容器使更新生效
安装插件
bash# 容器必须处于运行状态 docker exec zeek zkg install ja3
问题诊断
-
启动失败:查看容器日志
bashdocker logs zeek -
运行中问题:使用zeekctl诊断工具
bashdocker exec zeek zeekctl doctor
开发
开发文档位于镜像的docs/目录。
致谢
Dockerfile基于blacktop/docker-zeek项目。
zeek/zeek
zeek
Zeek官方Docker镜像,基于最新Debian,包含Zeek发行版完整安装(含zkg及工具链),/usr/local/zeek/bin在PATH中,无自定义入口点,不自动运行Zeek,可作为Docker应用的基础镜像。
14 次收藏10万+ 次下载
1 个月前更新
zeek/zeek-dev
zeek
官方Zeek开发构建Docker镜像,基于Debian,包含Zeek发行版安装(含zkg及工具链),主要用于夜间构建测试Zeek包或依赖基础设施,提前预警Zeek更新的兼容性问题。
1万+ 次下载
11 天前更新
certego/zeek
certego
Certego提供的非官方Zeek Docker镜像,用于构建和运行Zeek网络分析工具,支持版本定制和GEOIP功能开关,提供标准及Tcmalloc两种构建版本。
1万+ 次下载
4 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"