<div dir="ltr"><div>Try this test first:<br><br></div><div>run tcpdump -i eth0 [other tcpdump options you use] vlan<br><br></div><div>use the option "vlan" as your ONLY filter option, or "vlan and host x.x.x.x" where host x.x.x.x is the ip address of a vlan'd host you want to grab traffic from. Tell us if you see traffic on the interface. If this works, you can give snort a BPF filter to sniff vlan and non-vlan tagged traffic.<br>
<br><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Apr 18, 2013 at 4:42 PM, Eoin Miller <span dir="ltr"><<a href="mailto:eoin.miller@...14586..." target="_blank">eoin.miller@...14586...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 4/18/2013 20:36, Kim.Halavakoski@...16243... wrote:<br>
> Also, any VLAN action going on? Yes, thre should be and are VLANs on the<br>
> span port(Windows 7 sees them...) but for some reason the VLAN traffic<br>
> is not seen by this box with the current configuration and OS..<br>
<br>
</div>Yea, you need to create your VLAN interface on the box and sniff on that<br>
in order to see the packets. Just how the OS is.<br>
<br>
<a href="http://unixfoo.blogspot.com/2007/12/linux-vlan-configuration.html" target="_blank">http://unixfoo.blogspot.com/2007/12/linux-vlan-configuration.html</a><br>
<span class="HOEnZb"><font color="#888888"><br>
-- Eoin<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
------------------------------------------------------------------------------<br>
Precog is a next-generation analytics platform capable of advanced<br>
analytics on semi-structured data. The platform includes APIs for building<br>
apps and a phenomenal toolset for data science. Developers can use<br>
our toolset for easy data analysis & visualization. Get a free account!<br>
<a href="http://www2.precog.com/precogplatform/slashdotnewsletter" target="_blank">http://www2.precog.com/precogplatform/slashdotnewsletter</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>when does reality end? when does fantasy begin?
</div>