<div dir="ltr">Hello, i have a trouble.<br>We clone VM with suricata 3. But suricata did not catch anything. Empty fast.log, ssh.json In original place (where does a copy of VM suricata work fine)<br>If i run tcpdump i can see the mirroring traffic, for example i test on next rule:<br><br>alert tcp $HOME_NET any -> $HOME_NET any (msg:"SSH in internal net"; flow:established, to_server; content: "SSH-"; sid:100999; rev:1;)<br><br>I connect to the VM, another unix pc and nothing in fast.log or ssh.json<br><br>From suricata.yaml:<br><br>- fast:<br>      enabled: yes<br>      filename: fast.log<br>      append: yes<br>      #filetype: regular # 'regular', 'unix_stream' or 'unix_dgram'<br><br>- eve-log:<br>      enabled: yes<br>      type: file<br>      filename: ssh.json<br>      types:<br>        - ssh<br><br>May be you know what to do?<br></div>