<div dir="ltr">Hi,<div>I'm looking for recommendations for using suricata un runmode: workers and AF_Packet with multiple capture interfaces. I'm not how to best configure the threads and cluster-id.<br>I have 3 relatively low traffic span interfaces (IDS mode, alert only) and 6 cores.</div><div><br></div><div>Would each interface need to have it's own cluster-id?  Would the best threads setting be auto for each interface? </div><div><br></div><div>Thanks!</div><div>Brian</div></div>