<div dir="ltr"><div dir="ltr">Hi Davide,<div><br></div><div>Thanks for your help, Sorry for the late response, was down with flu.</div><div>please find attached suricata.yaml and suricata.log.</div><div><br></div><div>Topology:</div><div>eth0---(suricata run in host mode)---br0</div><div><br></div><div>Issue Faced:</div><div>When i run suricata between eth0 and bro interface, i am able to see packets on eth0 but not able to see packets on br0 interface, Please help me to debug the same, does suricata has any issues with one interface as BRIDGE?</div><div><br></div><div>Below is the procedure i used to start docker, and start suricata.</div><div><div>Running suricata docker:</div><div>#docker run -itd --net=host --cap-add=NET_ADMIN bbe1a2ab1467 /bin/bash</div><div><br></div><div>Log-in to suricata container:</div><div>#docker exec -it 8a03567cc3a600ffcc4916d4f97c23dd16514fd7973821ec0e67d0c9e4c1e3c9 /bin/bash</div><div><br></div><div>Start suricata binary inside docker:</div><div>#suricata -c /etc/suricata/suricata.yaml -v  --af-packet &</div></div><div><br></div><div>Regards</div><div>-Kavi Perumal G.</div></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Oct 30, 2018 at 1:33 PM Davide Setti <<a href="mailto:d.setti@certego.net">d.setti@certego.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Kavi,<div>could you please share your configuration on suricata.yaml and the output in suricata.log?</div><div><br></div><div>We have about 100 instances running on docker (netmode HOST and NET_ADMIN capability) in IDS mode, and never had any problem like this.<br><br>Regards,</div><div>Davide</div><div><br><div class="gmail_quote"><div dir="ltr">Il giorno mar 30 ott 2018 alle ore 08:31 kavi perumal <<a href="mailto:kaviperumal22@gmail.com" target="_blank">kaviperumal22@gmail.com</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Davide,<div><br></div><div>tried with --cap-add option with tap (IDS) mode, still it was not working.</div><div><br></div><div>regards</div><div>-Kavi Perumal G.</div></div></blockquote></div><div><br></div>-- <br><div dir="ltr" class="m_-2487034951397113689gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><table border="0" cellspacing="0" cellpadding="0" style="font-family:"Times New Roman";width:420px"><tbody><tr valign="top"><td><table border="0" cellspacing="0" cellpadding="0"><tbody><tr valign="top"><td style="text-align:initial;vertical-align:top;padding:0px 8px"><a href="http://www.certego.net/" target="_blank"><img width="96" height="96" src="http://www.certego.net/email/certego.png" alt="" style="border-radius:0px"></a></td><td style="text-align:initial;vertical-align:top;padding:4px 0px"><div style="padding-top:2px;color:rgb(0,172,237);font-weight:bold;font-stretch:normal;font-size:18px;line-height:normal;font-family:sans-serif;letter-spacing:1px">Davide Setti</div><div style="padding-top:2px;color:rgb(32,32,32);font-weight:bold;font-stretch:normal;font-size:14px;line-height:normal;font-family:sans-serif">R&D and Incident Response Team, Certego</div><div style="padding-top:6px"><a href="http://www.linkedin.com/company/certego" target="_blank"><img width="24" height="24" src="http://www.certego.net/email/linkedin.png" style="border-radius:0px;border:0px;width:24px;min-height:24px"></a> <a href="http://twitter.com/Certego_IRT" target="_blank"><img width="24" height="24" src="http://www.certego.net/email/twitter.png" style="border-radius:0px;border:0px;width:24px;min-height:24px"></a> <a href="http://github.com/certego" target="_blank"><img width="24" height="24" src="http://www.certego.net/email/github.png" style="border-radius:0px;border:0px;width:24px;min-height:24px"></a> <a href="http://www.youtube.com/CERTEGOsrl" target="_blank"><img width="24" height="24" src="http://www.certego.net/email/youtube.png" style="border-radius:0px;border:0px;width:24px;min-height:24px"></a> <a href="http://plus.google.com/117641917176532015312" target="_blank"><img width="24" height="24" src="http://www.certego.net/email/googleplus.png" style="border-radius:0px;border:0px;width:24px;min-height:24px"></a></div></td></tr></tbody></table></td></tr></tbody></table><div style="width:420px;text-align:justify;vertical-align:top;padding:8px 0px;color:rgb(224,224,224);font-stretch:normal;font-size:8px;line-height:normal;font-family:sans-serif">Use of the information within this document constitutes acceptance for use in an "as is" condition. There are no warranties with regard to this information; Certego has verified the data as thoroughly as possible. Any use of this information lies within the user's responsibility. In no event shall Certego be liable for any consequences or damages, including direct, indirect, incidental, consequential, loss of business profits or special damages, arising out of or in connection with the use or spread of this information.</div></div></div></div></div></div></div>
</blockquote></div>