I am at a loss.  I don't even know whether SecurityOnion is capturing packets or not.  Either my rules modifications were perfect, or nothing's being captured.<br><br>I infer that ELSA would be the best way to see recent actual basic packet traffic, but Firefox will not let me in.  "localhost:3154 uses an invalid security certificate"<br><br><br>... much less do I know how to determine whether my backups are excluded from packet capture.  I can't do backups until I'm sure the packets are -not- being captured.  It's been almost a week now since my last backups.<br><br>Can anyone advise?  I'm not particular.<br><br><br><br><span>-------- Original Message --------<br>Subject: Re: [Snort-users] Ignoring Backups - TCP Stateful?<br>Time (GMT): Dec 04 2014 15:21:24<br>From: Colony.Three@...17037...<br>To: doug.burks@...11827...<br>CC: snort-users@lists.sourceforge.net<br><br>><span>> In my case, the backups server calls rsync to backup the LAN machines<br>
>> (concurrently).  The rsync daemon is not used anywhere.<br>><br>
> Can you provide more information about what the actual traffic flows<br>
look like?  Perhaps some example traffic flows?<br><br>
> Would it help to simplify the BPF by removing "src"?  So something like this?<br><br>> not(tcp host 192.168.1.4 and tcp port 8027)<br><br>Not sure the best way to get this traffic?  <br><br>Part of the problem is I don't want to fill up my SO disk with backup traffic, but maybe I can run a ptial backup for a short time.<br><br></span></span>