<div dir="ltr"><div><div><div>Hi,<br><br>I was wondering what is the prefered way of doing barnyard2 with suricata in pfring? I ask because now I am running more processes now I have better hardware so when I ran say 8 processes each one seems to create its on unified2.alert file but I start only 1 barnyard process and I noticed things in the fast.log file that was not being picked up by barnyard. <br>
<br></div>So do I have to start up multiple barnyard processes too for each unified2 alert file and then do something like have multiple suricata.yaml files with each one pointed to say alert2.unified2, alert2.unified3 and then have barnyard and suricata started like this?<br>
<br># Start Multiple Suricata Processes With PFRING<br>for COUNTER in 0 1 2 3 4 5 6 7; do<br>suricata  --pidfile /var/run/suricata$COUNTER.pid --pfring-int=eth1 --pfring-cluster-id=99 --pfring-cluster-type=cluster_flow -c /etc/suricata/suricata.yaml --user suri --group suri -D<br>
/usr/local/bin/barnyard2 -c /etc/suricata/barnyard2.conf -d 
/var/log/suricata -f unified2.alert$COUNTER -w /var/log/suricata/bylog.waldo -D<br>done<br><br></div>Thanks,<br></div>Kevin<br><div><div><br><br><br></div></div></div>