<div dir="ltr">I am seeing packets truncated at about 1 or 2 with tpacket_v3 running. With the default of 1514, I was not seeing packets truncated unless I had bro and suricata running at the same time. Not sure why that might have been. Still waiting on a response from RH, but this appears to work combined with the ixgbe patch on RHEL7.</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 20, 2017 at 5:28 PM, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Look for log entries with "trunc_pkt" in the stats.log file to see if<br>
you aren't capturing full packets.<br>
<br>
You have to explicitly enable the tpacket-v3 setting in suricata.yaml to<br>
make use of it.<br>
<br>
-Coop<br>
<span class="im HOEnZb"><br>
On 1/20/2017 2:11 PM, erik clark wrote:<br>
> Interesting. I will doublecheck with RH on Monday regarding tpacket-v3 in<br>
> RHEL7. I know that 6 isn't compliant though.<br>
<br>
<br>
</span><div class="HOEnZb"><div class="h5">--<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ITS Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
<br>
</div></div></blockquote></div><br></div>