<div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace"><div class="gmail_default"><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;color:rgb(0,0,0)"><span style="font-size:11pt">Good morning all!       I’ve deployed Suricata 3.2.1 across a few dozen CentOS 7 based sensors, and I see an occasional issue with sensors in a virtual environment (may be a red herring).  </span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;color:rgb(0,0,0)"><span style="font-size:11pt"><br></span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;color:rgb(0,0,0)"><span style="font-size:11pt">After a period of time, Suricata stops getting packets from the af packet interface.  </span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;color:rgb(0,0,0)"><span style="font-size:11pt">The NIC still gets packets, confirmed with /proc/dev/net..</span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;color:rgb(0,0,0)"><span style="font-size:11pt"> </span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;color:rgb(0,0,0)"><span style="font-size:11pt">Has anyone seen this before?    </span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;color:rgb(0,0,0)"><span style="font-size:11pt">It's rare, and I can't find any error messages in log files.</span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;color:rgb(0,0,0)"><span style="font-size:11pt">It takes a Suricata restart to start seeing packets again.</span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif;color:rgb(0,0,0)"><span style="font-size:11pt"> </span></p></div><div><div class="gmail-m_-1167982560921653954gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="color:rgb(0,0,0);font-family:arial,sans-serif;font-size:12.8px">(moderator, sorry for the multiple emails, something was up with my subscription)</div></div></div></div></div></div></div></div></div><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br></div><div><br></div><div><font face="monospace, monospace">---------------------</font></div><div><font face="monospace, monospace">Chris Fauerbach<a href="https://twitter.com/lawn4me" target="_blank"></a><br></font></div><div><a href="https://fauie.com" target="_blank"><font face="monospace, monospace">https://fauie.com</font></a></div><div> </div><div><br></div></div></div></div></div></div></div></div></div></div></div></div>
</div>