<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div dir="ltr">This cannot possibly be problems with the card or the configuration of the card. That’s a problem at a higher layer. You’re sure the Suricata process has cap_net_raw?</div><div dir="ltr"><br><blockquote type="cite">On Nov 16, 2019, at 10:58 PM, Peter Manev <petermanev@gmail.com> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><meta http-equiv="content-type" content="text/html; charset=utf-8">On 17 Nov 2019, at 02:46, Cloherty, Sean E <scloherty@mitre.org> wrote:<br><div dir="ltr"><blockquote type="cite"><br></blockquote></div><blockquote type="cite"><div dir="ltr">

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->


<div class="WordSection1">
<p class="MsoNormal">After taking the Advanced Deployment and Architecture class I was fired up with ideas for improvements in my own environment.  I want to use the cluster_qm mode and match worker/CPUs/RSS queues in CentOS 7.  Has anyone been able to get
 this working on CentOS 7 or should I start migrating to CentOS 8?  The kernel is 3.10.0-1062.4.1.el7.x86_64, running Suricata 5.0.0 and I was able to set the hash key and the hash functions correctly (I think) -<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">RSS hash key:<o:p></o:p></p>
<p class="MsoNormal">6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a:6d:5a<o:p></o:p></p>
<p class="MsoNormal">RSS hash function:<o:p></o:p></p>
<p class="MsoNormal">    toeplitz: on<o:p></o:p></p>
<p class="MsoNormal">    xor: off<o:p></o:p></p>
<p class="MsoNormal">    crc32: off<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">When I start Suricata all the messages look good until it gets to AFP when it gives me the message –<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">7/11/2019 -- 14:10:43 - <Notice> - all 16 packet processing threads, 4 management threads initialized, engine started.<o:p></o:p></p>
<p class="MsoNormal">7/11/2019 -- 14:10:43 - <Error> - [ERRCODE: SC_ERR_AFP_CREATE(190)] - Couldn't set fanout mode, error Invalid argument<o:p></o:p></p>
<p class="MsoNormal">7/11/2019 -- 14:10:43 - <Error> - [ERRCODE: SC_ERR_AFP_CREATE(190)] - Couldn't init AF_PACKET socket, fatal error<o:p></o:p></p>
<p class="MsoNormal">7/11/2019 -- 14:10:43 - <Error> - [ERRCODE: SC_ERR_FATAL(171)] - thread W#01-ens1f1 failed<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p></div></div></blockquote><div><br></div><div>I’ve never tried it CentOS 7 but would recommend trying  8.</div><div>What NIC is that ? (think you mentioned Intel but wasn’t sure what driver/model)</div><div><br></div><div>Just to be in the safe side - “-T” (test) run passes ok too? (And there are no other Suri running on the same interface ?)</div><div><br></div><br><blockquote type="cite"><div dir="ltr"><div class="WordSection1">
<p class="MsoNormal">I did take a look at the test script “can-i-use-afpacket-fanout” but my sensors have no internet connection so I am not able to use it via GO. Is there another way to run this if I downloading it manually ?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks, <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Sean<o:p></o:p></p>
</div>


<span>_______________________________________________</span><br><span>Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org</span><br><span>Site: http://suricata-ids.org | Support: http://suricata-ids.org/support/</span><br><span>List: https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</span><br><span></span><br><span>Conference: https://suricon.net</span><br><span>Trainings: https://suricata-ids.org/training/</span></div></blockquote><span>_______________________________________________</span><br><span>Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org</span><br><span>Site: http://suricata-ids.org | Support: http://suricata-ids.org/support/</span><br><span>List: https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</span><br><span></span><br><span>Conference: https://suricon.net</span><br><span>Trainings: https://suricata-ids.org/training/</span></div></blockquote></body></html>