<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">I've been using oinkmaster to update suricata rules for the last few years (before suricata-update).  I'm going through the process of migrating and am almost there, but get these warnings on start up:<div><br></div><div><div>21/2/2019 -- 16:10:36 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /var/lib/suricata/rules/suricata.rules</div><div>21/2/2019 -- 16:10:36 - <Warning> - [ERRCODE: SC_ERR_NO_RULES_LOADED(43)] - 1 rule files specified, but no rule was loaded at all!</div></div><div><br></div><div>$> wc -l /var/lib/suricata/rules/suricata.rules</div><div>27012 /var/lib/suricata/rules/suricata.rules</div><div><br></div><div>These rules seem properly configured and my modified.conf, enable.conf and drop/disable.conf are all respected, it seems.</div><div><br></div><div>I can find where that error happens in code, but am unsure about the (obvious) thing i am missing.  I am using the base suricata.yaml with an include file, that i'm happy to display here.  I noticed there is no merging, so when i replaced a node i grabbed all of the required bits.</div><div><br></div><div>Thanks for any assistance you can provide.</div><div><br></div><div>Jeff</div><div><br></div><div><div>%YAML 1.1</div><div>---</div><div>vars:</div><div>  address-groups:</div><div>    HOME_NET: "[<a href="http://172.16.0.0/16">172.16.0.0/16</a>, 96.XX.XX.NN, 10.0.0.118]"</div><div>    EXTERNAL_NET: "!$HOME_NET"</div><div>    HTTP_SERVERS: "$HOME_NET"</div><div>    SMTP_SERVERS: "$HOME_NET"</div><div>    SQL_SERVERS: "$HOME_NET"</div><div>    DNS_SERVERS: "$HOME_NET"</div><div>    TELNET_SERVERS: "$HOME_NET"</div><div>    AIM_SERVERS: "$EXTERNAL_NET"</div><div>    DC_SERVERS: "$HOME_NET"</div><div>    DNP3_SERVER: "$HOME_NET"</div><div>    DNP3_CLIENT: "$HOME_NET"</div><div>    MODBUS_CLIENT: "$HOME_NET"</div><div>    MODBUS_SERVER: "$HOME_NET"</div><div>    ENIP_CLIENT: "$HOME_NET"</div><div>    ENIP_SERVER: "$HOME_NET"</div><div>  port-groups:</div><div>    HTTP_PORTS: "[80, 81]"</div><div>    SHELLCODE_PORTS: "!$HTTP_PORTS"</div><div>    ORACLE_PORTS: 1521</div><div>    SSH_PORTS: 22</div><div>    DNP3_PORTS: 20000</div><div>    MODBUS_PORTS: 502</div><div>    FILE_DATA_PORTS: "[$HTTP_PORTS,110,143]"</div><div>    FTP_PORTS: 21</div><div><br></div><div><br></div><div><br></div><div>outputs:</div><div>  - stats:</div><div>      enabled: yes</div><div>      interval: 8</div><div>      filename: stats.log</div><div>      append: yes       # append to file (yes) or overwrite it (no)</div><div>      totals: yes       # stats for all threads merged together</div><div>      threads: no       # per thread stats</div><div>  - fast:</div><div>      enabled: yes</div><div>      filename: fast.log</div><div>      append: yes</div><div>  - eve-log:</div><div>      enabled: yes</div><div>      filename: eve-ips.json</div><div>      pcap-file: false</div><div>      community-id: false</div><div>      community-id-seed: 0</div><div>      xff:</div><div>        enabled: no</div><div>        # Two operation modes are available, "extra-data" and "overwrite".</div><div>        mode: extra-data</div><div>        # Two proxy deployments are supported, "reverse" and "forward". In</div><div>        # a "reverse" deployment the IP address used is the last one, in a</div><div>        # "forward" deployment the first IP address is used.</div><div>        deployment: reverse</div><div>        # Header name where the actual IP address will be reported, if more</div><div>        # than one IP address is present, the last IP address will be the</div><div>        # one taken into consideration.</div><div>        header: X-Forwarded-For</div><div>    types:</div><div>      - alert:</div><div>          payload: yes</div><div>          payload-printable: yes</div><div>          http-body: yes</div><div>          http-body-printable: yes</div><div>          tagged-packets: yes</div><div>          metadata: yes</div><div>      - dns:</div><div>          enabled: no</div><div>      - nfs:</div><div>          enabled: no</div><div>      - smb:</div><div>          enabled: no</div><div>      - ssh:</div><div>          enabled: yes</div><div>      - drop:</div><div>          enabled: yes</div><div>      - tftp:</div><div>          enabled: no</div><div>      - ikev2:</div><div>          enabled: no</div><div>      - krb5:</div><div>          enabled: no</div><div>      - dhcp:</div><div>          enabled: no</div><div>      - stats:</div><div>          enabled: no</div><div>      - flow:</div><div>          enabled: no</div><div>      - http:</div><div>          enabled: yes</div><div>          extended: yes</div><div>      - tls:</div><div>          enabled: yes</div><div>          extended: yes</div><div><br></div><div>host-os-policy:</div><div>  linux: [<a href="http://172.16.0.0/16">172.16.0.0/16</a>]</div></div><div><br></div><div><br></div></div></div></div></div>