Доброго времени суток. Имелась следующая схема: роутер Микротик, какой-то CCR, к нему в порт е1 входит провайдер, в порт е2 подключен сервер с сурикатой, в порт е3 подключена наша сеть. Весь, проходящий через микротик, трафик дублируется на сурикату. Перед сурикатой запущен trafr от микротика, он передаёт по трубе сурикате, суриката детектит, отсылает всё что видит в Logstash, всем счастье. Но захотелось нам поставить перед Микротиком свитч, сделать зеркалирование трафика с его помощью, убрать trafr из цепочки и запустить сурикату с cuda'ой. Теперь схема такова: шнурок от провайдера в свитч е1, к е2 свитча подключен сервер с сурикатой, е3 свитча идёт в Микротик.
И вот теперь какая-то непонятная фигня с сурикатой - nload показывает полную нагрузку на интерфейсе сурикаты, цифры совпадают с цифрами в Микротике, свитч всё исправно зеркалирует. Но теперь суриката почти ничего не детектит. Т.е. алерты пишутся, что-то детектится, но совершенно не в таких количествах как до изменений. Раньше лог был засран сообщениями о трояне Linux.Mirai, теперь же ни одного сообщения о нём. Вообще теперь осталось очень малое количество алертов с приоритетом 1, почти все они UDP, и просто мизерное количество сообщений от TCP.
Не меняя настроек подключили сурикату по старому - всё работает. Пока разбирались нашлась ещё странность - если tcpdump запустить на схеме через свитч и писать всё в stdout - он ловит малое количество пакетов. Очень много «kernel dropped» пакетов. Если запустить на первой схеме - пакеты сыпятся как из пулемёта. Но! - если запустить tcpdump по схеме через свитч и при этом писать в файл, а не в stdout, то он ловит все пакеты, как и при первой схеме.
Сурикату пробовали запускать и с cuda и без неё, и в режиме af-packet и pcap. Результата одинаковый. Подскажите, пожалуйста, какую настройку ей подкрутить что бы оно заработало?
P.S. Суриката 3.2.1 скомпилированная, сервер Ubuntu 16.04
