<div dir="ltr">Ok, so we found our problem. Turns out that kernel 4.13.4-1.elrepo.x86_64 does not work with Suricata for af_packet fanout. By downgrading to kernel 4.12.8-1.elrepo.x86_64, this worked again. Please advise as to why this kernel does not seem to work. It properly fans out for Bro, so it seems to be something specific to Suri. Thanks!<div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 7, 2017 at 12:59 PM, erik clark <span dir="ltr"><<a href="mailto:philosnef@gmail.com" target="_blank">philosnef@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Soooo, we have this suricata.yaml file we use everywhere. On this new server, we are getting this fun:<div><br></div><div><span style="color:rgb(84,84,84);font-family:Roboto,arial,sans-serif">- </span><span style="font-weight:bold;color:rgb(106,106,106);font-family:Roboto,arial,sans-serif">Couldn't init AF_PACKET socket</span><span style="color:rgb(84,84,84);font-family:Roboto,arial,sans-serif">, </span><span style="font-weight:bold;color:rgb(106,106,106);font-family:Roboto,arial,sans-serif">fatal error</span><br></div><div><span style="font-weight:bold;color:rgb(106,106,106);font-family:Roboto,arial,sans-serif"><br></span></div><div><span style="color:rgb(84,84,84);font-family:Roboto,arial,sans-serif">Coudn't </span><span style="font-weight:bold;color:rgb(106,106,106);font-family:Roboto,arial,sans-serif">set fanout mode</span><span style="color:rgb(84,84,84);font-family:Roboto,arial,sans-serif">, </span><span style="font-weight:bold;color:rgb(106,106,106);font-family:Roboto,arial,sans-serif">error Invalid argument</span><span style="font-weight:bold;color:rgb(106,106,106);font-family:Roboto,arial,sans-serif"><br></span></div><div><span style="font-weight:bold;color:rgb(106,106,106);font-family:Roboto,arial,sans-serif"><br></span></div><div>We are running 4.13 kernel, which supports tpacket_v3 and af_packet. Please advise. We can't find anything amiss in our conf. Thanks!<br></div></div>
</blockquote></div><br></div>