Sto configurando un IDS usando Security Onion su VMWare ESX. Ho una VLAN dallo switch (fisico) che ha la porta SPAN della rete; ciò viene inserito nello switch virtuale ESX e questo gruppo di porte è impostato su Promiscuous. Allo stesso modo, la seconda interfaccia di rete sulla VM è connessa a questo port group ESX ed è anche impostata su promiscua (autoconfigurazione di Security Onion).
Il mio problema è che nessun traffico sta arrivando a Snort in alcun modo che io possa rilevare. SGUIL ed ELSA non hanno log; anche un tcpdump su quella porta non mostra nulla. So che c'è traffico sulla rete, ma non so dove si sta perdendo.
Qualcuno ha creato qualcosa di simile? Era necessaria una particolare configurazione?