<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, May 14, 2019 at 10:08 PM Oliver Humpage <<a href="mailto:oliver@watershed.co.uk" target="_blank">oliver@watershed.co.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
> On 14 May 2019, at 20:46, Leonard Jacobs <<a href="mailto:ljacobs@netsecuris.com" target="_blank">ljacobs@netsecuris.com</a>> wrote:<br>
> <br>
> Is it ok to install multiple instances of Suricata on a single computer?  We want to run Suricata in both IPS mode and IDS mode on two different network segments (external and internal networks) but not sure how else to run the same rule set on the same <br>
> computer in both modes except by running two instances of Suricata with separate yaml files.<br>
<br>
FWIW we run multiple instances of suricata on one (FreeBSD) server, to get different rulesets on different interfaces. No problems at all - we just renamed the service scripts to be suricata_<iface_name> so their startup config can reference different yaml files. Obviously in the yaml files you need to set each instance to log to a different folder, listen on a different interface, etc.<br>
<br>
There may be a way to do what you want with one instance, but multiple instances should work if not.<br>
<br></blockquote><div><br></div><div>I have not personally tested IDS and IPS together in same config but suri can be multi tenant per device/nic - <a href="https://suricata.readthedocs.io/en/latest/configuration/multi-tenant.html#device">https://suricata.readthedocs.io/en/latest/configuration/multi-tenant.html#device</a></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Oliver.<br>
<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="m_-3142416260271469138gmail_signature"><div>Regards,</div>
<div>Peter Manev</div></div></div>