<div dir="ltr">Hi <span style="color:rgb(32,33,36);font-size:0.875rem;letter-spacing:0.2px;font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;white-space:nowrap">Малинкин,</span><span style="color:rgb(32,33,36);font-size:0.875rem;font-weight:bold;letter-spacing:0.2px;font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;white-space:nowrap"> </span><div>you are right. Thank you. It should've been <a href="http://172.20.5.0/24">172.20.5.0/24</a> , <a href="http://172.20.1.0/24">172.20.1.0/24</a>, <a href="http://172.16.0.0/16">172.16.0.0/16</a>. <br>Now I can observe some events. But when I ping address 172.20.5.16 from other machine I still can only observe events when i define only <a href="http://172.20.5.0/24">172.20.5.0/24</a>.<br>What's more when I ping 172.20.5.12 I can see events in both configurations.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">pon., 28 paź 2019 o 14:40 Малинкин Сергей <<a href="mailto:malinkinsa@yandex.ru">malinkinsa@yandex.ru</a>> napisał(a):<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>Hi, Tomek.</div><div><a href="http://172.20.0.0/24" target="_blank">172.20.0.0/24</a> and <a href="http://172.20.1.0/24" target="_blank">172.20.1.0/24</a> are part of <a href="http://172.16.0.0/12" target="_blank">172.16.0.0/12</a>.</div><div>I think it can be reason, because syntactics is ok.</div><div> </div><div> </div><div><br></div><div><br></div><div>28.10.2019, 15:31, "Tomek Koziak" <<a href="mailto:ttomek.koziak@gmail.com" target="_blank">ttomek.koziak@gmail.com</a>>:</div><blockquote><div dir="ltr">I am trying to configure suricata in my network. When I set one HOME_NET in /etc/suricata/suricata.yml as : <div><br><div>HOME_NET: "[<a href="http://172.20.5.0/24" target="_blank">172.20.5.0/24</a>]" </div><div><br></div><div>everything works fine. But when I try to define more that one pool of addresses as:</div><div><br></div><div> HOME_NET: "[<a href="http://172.20.5.0/24,172.16.0.0/12,172.20.1.0/24" target="_blank">172.20.5.0/24,172.16.0.0/12,172.20.1.0/24</a>]"</div><div><br></div><div>I cannot observe any events in /var/log/suricata/log.fast How to properly define a few networks in HOME_NET variable?</div></div></div>
,<p>_______________________________________________<br>Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>Site: <a href="http://suricata-ids.org/" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br><br>Conference: <a href="https://suricon.net/" target="_blank">https://suricon.net</a><br>Trainings: <a href="https://suricata-ids.org/training/" target="_blank">https://suricata-ids.org/training/</a><br></p></blockquote>
</blockquote></div>