<div>That should work, but test first. If it works it should continue to work as those values are pretty static for the life of the distribution. </div><div><br></div><div>I'm not familiar with RedHat satellite so can't confirm myself. </div><div><br></div><div>Jason</div><div><br><div class="gmail_quote"><div>On Wed, May 17, 2017 at 5:06 AM erik clark <<a href="mailto:philosnef@gmail.com">philosnef@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Jason, in your repo I see:<div><br></div><div><span style="color:rgb(36,41,46);font-family:sfmono-regular,consolas,"liberation mono",menlo,courier,monospace;font-size:12px;white-space:pre-wrap">baseurl=<a href="https://copr-be.cloud.fedoraproject.org/results/jasonish/suricata-stable/fedora-$releasever-$basearch/" target="_blank">https://copr-be.cloud.fedoraproject.org/results/jasonish/suricata-stable/fedora-$releasever-$basearch/</a></span><br></div><div><span style="color:rgb(36,41,46);font-family:sfmono-regular,consolas,"liberation mono",menlo,courier,monospace;font-size:12px;white-space:pre-wrap"><br></span></div><div><span style="color:rgb(36,41,46);font-family:sfmono-regular,consolas,"liberation mono",menlo,courier,monospace;font-size:12px;white-space:pre-wrap">Can I just force this to be </span></div><div><font color="#24292e" face="sfmono-regular, consolas, liberation mono, menlo, courier, monospace"><span style="font-size:12px;white-space:pre-wrap"><a href="https://copr-be.cloud.fedoraproject.org/results/jasonish/suricata-stable/epel-7-x86_64/" target="_blank">https://copr-be.cloud.fedoraproject.org/results/jasonish/suricata-stable/epel-7-x86_64/</a></span></font><br></div><div><font color="#24292e" face="sfmono-regular, consolas, liberation mono, menlo, courier, monospace"><span style="font-size:12px;white-space:pre-wrap"><br></span></font></div><div><font color="#24292e" face="sfmono-regular, consolas, liberation mono, menlo, courier, monospace"><span style="font-size:12px;white-space:pre-wrap">and have this work for RHEL7?</span></font></div><div><font color="#24292e" face="sfmono-regular, consolas, liberation mono, menlo, courier, monospace"><span style="font-size:12px;white-space:pre-wrap"><br></span></font></div><div><font color="#24292e" face="sfmono-regular, consolas, liberation mono, menlo, courier, monospace"><span style="font-size:12px;white-space:pre-wrap">I am trying to get t his integrated into RH Satellite, but there are some complications, so its a bit of a struggle.</span></font></div><div><font color="#24292e" face="sfmono-regular, consolas, liberation mono, menlo, courier, monospace"><span style="font-size:12px;white-space:pre-wrap"><br></span></font></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Message: 2<br>
Date: Wed, 26 Apr 2017 08:48:56 -0600<br>
From: Jason Ish <<a href="mailto:lists@ish.cx" target="_blank">lists@ish.cx</a>><br>
To: <a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a><br>
Subject: Re: [Oisf-users] suricata docker container<br>
Message-ID: <<a href="mailto:ac2558a3-2f10-c741-8940-49c77baa6271@ish.cx" target="_blank">ac2558a3-2f10-c741-8940-49c77baa6271@ish.cx</a>><br>
Content-Type: text/plain; charset=utf-8; format=flowed<br>
<br>
On 26/04/17 07:52 AM, erik clark wrote:<br>
> Is it possible to get Jason Ish's docker container to build against<br>
> af_packet? We are trying to move to docker containers, and af_packet<br>
> support in the container would be very nice.<br>
<br>
It is already built against af-packet, for instance you can do:<br>
<br>
docker run --rm -it jasonish/suricata:latest --af-packet=eth0<br>
<br>
However, that is of questionable usefulness as that interface exists<br>
inside the container and probably doesn't see the traffic you want.<br>
<br>
You can probably get around this with host networking:<br>
<br>
docker run --net=host --rm -it jasonish/suricata:latest --af-packet=eno1<br>
<br>
This exposes the host networking inside the container so you can view<br>
all the interfaces. You might need to add "--privileged" to that command<br>
if you get some errors starting up.<br>
<br>
> Also, I need to sniff eve.json with Splunk, but it appears that the<br>
> docker container filesystem is completely segregated. Do I need to run<br>
> the splunk forwarder inside the container somehow get the events off the<br>
> container?<br>
<br>
The best way to do this is with volumes. Suricata logs to<br>
/var/log/suricata inside the container, but we can make that a volume on<br>
the host file system, something like:<br>
<br>
docker run -v /var/tmp/container/log/suricata:/var/log/suricata<br>
--net=host --rm -it jasonish/suricata:latest --af-packet=eno1<br>
<br>
Now you will see the logs in /var/tmp/container/log/suricata on the host.<br>
<br>
Note that the idiomatic Docker way to do what you want would be to<br>
create a data-only container, map the data-only container into the<br>
Suricata container so logs end up there, and then make another container<br>
for the Splunk forward which also has the data-only container mapped in<br>
for viewing the logs. This goes beyond what I've done with the Docker<br>
container as I find it a bit much, but just pointing it out as the<br>
Docker guys used to push this approach. I would just create another<br>
container for the Splunk forwarder and map in the Suricata log directory<br>
like above for reading the logs and forget about the data-only container<br>
unless its required for your use case.<br>
<br>
I hope that gets you a little farther along.<br>
Jason<br>
<br>
<br>
------------------------------<br>
<br>
Subject: Digest Footer<br>
<br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@lists.openinfosecfoundation.org" target="_blank">Oisf-users@lists.openinfosecfoundation.org</a><br>
<a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
<br>
------------------------------<br>
<br>
End of Oisf-users Digest, Vol 89, Issue 38<br>
******************************************<br>
</blockquote></div><br></div></div>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
</blockquote></div></div>