<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Hi Peter,</div><div>Yes we also had the same with 4.1.0 and rolled back to 4.0.5<br></div><div><br></div><div>Stats.log - <a href="https://pastebin.com/sKmLwVJP">https://pastebin.com/sKmLwVJP</a></div><div>Suricata.log - <a href="https://pastebin.com/q9Z3z0Zg">https://pastebin.com/q9Z3z0Zg</a><br></div><div>suricata.yaml - <a href="https://pastebin.com/EEGHz4M4">https://pastebin.com/EEGHz4M4</a></div><div>start line: /usr/local/bin/suricata -D --netmap --pidfile /var/run/suricata.pid -c /usr/local/etc/suricata/suricata.yaml<br></div><div><br></div><div>
no any unusual rules are triggered in that moment <br></div><div>We use 114 alert and 6357 drop rules from Snort ruleset and 7314 alert and 3626 drop rules from ET rulesset + 1929 IP addresses from 
reputations lists</div><div><br></div><div>Sorry, I can't provide the details for AF_PACKETS right now - it may works for 1-2 months without any issues and restarts</div><div><br></div><div><br></div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">пн, 19 нояб. 2018 г. в 20:36, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, Nov 19, 2018 at 6:35 PM Peter Manev <<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>> wrote:<br>
><br>
><br>
> On Mon, Nov 19, 2018 at 6:25 PM Michael Tsukanov <<a href="mailto:zukinzin@gmail.com" target="_blank">zukinzin@gmail.com</a>> wrote:<br>
> ><br>
> > Friends,<br>
> > we've faced an issue with suricata running in inline mode.<br>
> ><br>
> > Could you please help us to find the root cause of the issue or determinate any useful  metrics which we may use for investigation.<br>
> ><br>
> > It may works 1-3 days, then we loose the access to switch behind the Suricata and Internet in the office.<br>
> ><br>
><br>
> Is it possible some rule triggers that condition ?<br>
><br>
> > Suricata is placed between ASA and root switch<br>
> > We use FreeBSD 11.2, Suricata 4.0.5 with Netmap (but also faced this situation with Ubuntu and AF_Packets in other location). The server has I350 Ethernet adapters, 16Gb RAM, i5 cpu.<br>
><br>
> Could you share a bit more information with regards to the set up (ex config/start line etc...) and logs when that hapens - stats.log/suricata.log - for the af-packet set up for example ?<br>
><br>
<br>
Also (sent out the previous mail too fast - apologies ) - do you have<br>
the same problem with Suricata 4.1  ?<br>
<br>
> > We use one /16 net as HOME_NET in suricata.yaml. The Internet channel is 80Mbps<br>
> ><br>
> > Thank you in advance<br>
<br>
<br>
<br>
-- <br>
Regards,<br>
Peter Manev<br>
</blockquote></div>