Если в /var/log/suricata/eve.json посмотреть значения packet и payload при включенных в /etc/suricata/suricata.yaml можно заметить, что packet будет отличаться по части IPv4 Total Length и TCP Flag от такого, что было перехвачено wireshark или tcpdump. В результате если потом собрать pcap файл из того что есть в eve.json: packet + payload ничего хорошего не получится, wireshark будет ругаться.
types:
- alert:
payload: yes # enable dumping payload in Base64
payload-printable: yes # enable dumping payload in printable (lossy) format
packet: yes # enable dumping of packet (without stream segments)
http: yes # enable dumping of http fields
tls: yes # enable dumping of tls fields
ssh: yes # enable dumping of ssh fields
smtp: yes # enable dumping of smtp fields
Я знаю, что Suricata может быть настроена на запись в pcap файлы сразу, но мне интересно есть ли способ побороть эту особенность поведения Suricata при записи именно, в eve.json. И вообще интересен любой опыт и ваши мысли, вдруг кто то сталкивался с подобным.