<div dir="ltr">Changing $HOME_NET to any in sid 2022813 didn't help though, still not getting that alert fired.<div>One difference I had in suricata.yaml when running in offline pcap reading mode was, I set runmode to "single", while when suricata runs in packet sniffing mode it's set to "workers".</div><div><br></div><div>I tried to set it to "runmode:single" while on interface sniffing mode but was hit by ~60% capture loss, which makes sense as single threaded suricata can't handle the traffic flowing through the interface. </div><div><br></div><div>The fact that alerts are fired when in offline single threaded mode and same alerts are not fired when online packet sniffing multi-threaded mode, makes me think it has to do with multi-threading vs single threaded mode and how "workers" are capturing packets.</div><div><br></div><div>I will keep looking.</div><div><br></div><div>(The good thing is that Interrupt/IRQ pinning has helped to reduce capture loss to 0%)</div><div><br></div><div>Thanks,</div><div>Fatema </div><div><br></div><div><br></div></div>