<div dir="ltr"><div>Hi Peter,</div><div><br></div><div>Thanks for your reply!</div><div>I managed to build a Dockerfile with some explanation of the whole idea.</div><div>git clone <a href="https://manosil78@bitbucket.org/manosil78/pcap-lua.git">https://manosil78@bitbucket.org/manosil78/pcap-lua.git</a></div><div><br></div><div>I am using a Lua wrapper from Github project to be able to write from Lua to disk. I have also made a small change to Suricata in Lua output to display vlan id in packet tuple</div><div><br></div><div>I'm more than happy to further discuss any additional questions and look forward to your comments</div><div><br></div><div><br></div><div>Regards,</div><div><br></div><div><br></div><div>Manuel<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 10, 2018 at 3:53 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
> On 10 May 2018, at 02:02, LUIS MANUEL SILVA CASTILLO <<a href="mailto:luismsilvacastillo@gmail.com">luismsilvacastillo@gmail.com</a>> wrote:<br>
> <br>
> Hi,<br>
> <br>
> my client wishes to use Suricata as Packet Capture solution. However, there is an additional request to store packets from VLANs to their respective PCAP file. For instance VLAN 1 -> PCAP_Log_TS_TN_VLAN_1 same for VLAN 2 and so on and so forth. Solution is also to be run on high speed network and needs to be able to cope with up-to 10Gbps link. So far I have tried to use Lua script both at logging and engine but unable to achieve 10G. I can get capture and splitting but writing does not perform as required. My next step would be to try to modify Suricata code to achieve requested feature but I want to ask first if there is any previous work or someone else had done something similar so I can get started.<br>
<br>
</span>I would suggest testing the writing first(10gbs writing - sustained, is not so trivial - in my experience anyway). That way you would be able to confirm where the bottle neck is first - writing or anywhere in the post processing.<br>
<br>
Are you writing per thread?<br>
Would be interesting to see the lua script if possible.<br>
<span class=""><br>
<br>
> <br>
> Thanks you very much in advance and look forward to your comments<br>
> <br>
> Manuel<br>
> <br>
</span>> ______________________________<wbr>_________________<br>
> Suricata IDS Devel mailing list: <a href="mailto:oisf-devel@openinfosecfoundation.org">oisf-devel@<wbr>openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Participate: <a href="http://suricata-ids.org/participate/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>participate/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-devel</a><br>
> Redmine: <a href="https://redmine.openinfosecfoundation.org/" rel="noreferrer" target="_blank">https://redmine.<wbr>openinfosecfoundation.org/</a><br>
> <br>
</blockquote></div><br></div>