<html><body><div id="zimbraEditorContainer" style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000" class="14"><div>I am using Suricata 4.1 on Debian with AF-Packet. I have recently tested the configuration by specifically looking for Suricata to alert on content in the body of the HTTP POST. Suricata did not trigger and it led me to repeat the process while recording a PCAP. When I run the PCAP through Suricata then Suricata alerts accurately and as expected.</div><div><br data-mce-bogus="1"></div><div>My question is centered on where I should be looking for the difference in the configuration that would lead to no alert via AF-PACKET and then an alert generated with same traffic through PCAP. </div><div><br data-mce-bogus="1"></div><div>Any direction will be helpful. I have given some of the configuration dump below.</div><div><br data-mce-bogus="1"></div><div><div>af-packet = (null)</div><div>af-packet.0 = interface</div><div>af-packet.0.interface = e1</div><div>af-packet.0.cluster-id = 99</div><div>af-packet.0.cluster-type = cluster_flow</div><div>af-packet.0.defrag = yes</div><div>af-packet.1 = interface</div><div>af-packet.1.interface = e3</div><div>af-packet.1.cluster-id = 98</div><div>af-packet.1.cluster-type = cluster_flow</div><div>af-packet.1.defrag = yes</div><div>af-packet.2 = interface</div><div>af-packet.2.interface = e4</div><div>af-packet.2.cluster-id = 97</div><div>af-packet.2.cluster-type = cluster_flow</div><div>af-packet.2.defrag = yes</div><div>af-packet.3 = interface</div><div>af-packet.3.interface = default</div><div><br></div><div>pcap-file = (null)</div><div>pcap-file.checksum-checks = auto</div></div><div><br></div><div><br></div><div data-marker="__SIG_PRE__"><div><span style="font-family: 'Segoe UI', 'Lucida Sans', sans-serif; font-size: 14.16px;">Jeremy Grove, SSCP</span><br style="font-family: 'Segoe UI', 'Lucida Sans', sans-serif; font-size: 14.16px;"><span style="font-family: 'Segoe UI', 'Lucida Sans', sans-serif; font-size: 14.16px;">Security Engineer</span><br style="font-family: 'Segoe UI', 'Lucida Sans', sans-serif; font-size: 14.16px;"><br><br><br></div></div></div></body></html>