<div dir="ltr"><div class="gmail_quote"><br><div dir="ltr">Hi Team,<div><br></div><div>We have been working on setting up Suricata for some time and have been able to get it to work for a single tenant.</div><div><br></div><div>the data is sent using sflow protocol to my Ubuntu VM where we are using sflow tool to decap the flow to pcap, which is further given to Suricata using below command </div><div><br></div><div>sflowtool -p 6346 -t | suricata -r - -c Suricata.yaml <br></div><div><br></div><div>We have multiple servers sending sflow data to centralized Suricata VM (single NIC)</div><div>the goal is to segregate traffic based on source</div><div>.</div><div>How can we segregate or have Multitenancy based multiple source.</div><div><br></div><div>I referred to following link <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Multi_Tenancy" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Multi_Tenancy</a></div><div><br></div><div>that talks about using VLAN-IDs , but this doesn't suit our requirement.</div><div><br></div><div>JFYI, we have traffic in terabytes and the n.w is huge so we don't have specific place in the n/w to install IDS system.</div><div><br></div><div>thanks</div><span class="HOEnZb"><font color="#888888"><div>Anoop Saxena </div><div><br></div></font></span></div>
</div><br></div>