Поиск и устранение неисправностей Suricata2Cuckoo

Основная проверка отправки в Cuckoo:

Там видны старт демона, режим наблюдения, строки Submitting …, Cuckoo API OK или ошибки API. Интерфейсы и IP-адреса демон в этом журнале не дублирует — их смотрите в событиях Suricata (например, fileinfo в eve.json).

Страница Services → Intrusion Detection → Log File показывает лог Suricata. Строки про Cuckoo API пишет не движок IDS, а suricata2cuckoo.pl; искать их нужно в suricata2cuckoo-events.log. Раздел System → Log Files → General может быть пустым для демона из‑за маршрутизации syslog — это не всегда признак сбоя.

В оболочке по умолчанию конструкции с перенаправлением и конвейером (например, 2>/dev/null перед |) иногда дают Ambiguous output redirect. Для сложных конвейеров используйте sh или обёртку /bin/sh -c '…'.

На новых выпусках OPNsense файла /var/log/system.log может не быть — системные сообщения лежат в других путях (например, под /var/log/system/).

Скрипт diagnose.sh ничего не меняет в конфигурации: выводит сводку (строка rc.d, проверки Perl-модулей, пути, статус сервиса, хвосты логов, проба configctl suricata2cuckoo apply и т.д.).

При обращении за поддержкой приложите полный вывод от начала до маркера конца сценария.

См. также обзор плагина и конфигурацию.