<div dir="ltr"><div>At times I've used suricata with netmap vale.  Tcpreplay can be gotten from github with netmap support.  Play tcpreplay into vale with suricata attached to vale.  Comment out the learning code within vale and all works quite well.  I assume this probably works with netmap pipes without having to hack at netmap, but I've not actually tried that.  You can use tcpreplay to send multiple pcaps.<br><br></div>Tom<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 27, 2015 at 8:49 AM, Rasmor, Zachary R <span dir="ltr"><<a href="mailto:zachary.r.rasmor@lmco.com" target="_blank">zachary.r.rasmor@lmco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="#0563C1" vlink="#954F72" lang="EN-US"><div><p class="MsoNormal">Hi,<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I was looking over some of the features for pcap file/offline mode as of 2.1beta4. From what I can see, the only way to run multiple pcap files through Suricata (without restarting the engine for each file) is to use Unix Socket mode – is this understanding correct? Per the –list-runmodes option, Unix Socket mode only supports “single” runmode. Are there any plans to support workers mode with Unix Socket in the future?<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I also noticed that the –r option supports both the “single” and “autofp” runmodes, but this appears to only support providing one pcap file at a time. I would like to have the flexibility of supplying an arbitrary number of pcap files without restarting Suricata each time, so I wanted to confirm that Unix Socket is the only option.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thanks,<u></u><u></u></p><p class="MsoNormal">Zach<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><b><span style="font-size:12.0pt;font-family:"Franklin Gothic Book",sans-serif">________________________<u></u><u></u></span></b></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Franklin Gothic Book",sans-serif">Zach Rasmor<u></u><u></u></span></b></p><p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Franklin Gothic Book",sans-serif">Senior Software Engineer<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Franklin Gothic Book",sans-serif">Lockheed Martin CIRT<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Franklin Gothic Book",sans-serif">700 N Frederick Ave | Gaithersburg, MD 20879<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Franklin Gothic Book",sans-serif">Email: <a href="mailto:zachary.r.rasmor@lmco.com" target="_blank"><span style="color:blue">zachary.r.rasmor@lmco.com</span></a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Franklin Gothic Book",sans-serif">Office: <a href="tel:301.240.6116" value="+13012406116" target="_blank">301.240.6116</a><u></u><u></u></span></p><p class="MsoNormal"><u></u> <u></u></p></div></div><br>_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br></blockquote></div><br></div>