Estoy configurando un IDS usando Security Onion en VMWare ESX. Tengo una VLAN del conmutador (físico) que tiene el puerto SPAN de la red; esto alimenta el conmutador virtual ESX y este grupo de puertos está configurado como Promiscuo. Del mismo modo, la segunda interfaz de red en la VM está conectada a este grupo de puertos ESX y también está configurada como promiscua (configuración automática de Security Onion).
Mi problema es que no hay tráfico que llegue a Snort de ninguna manera que pueda detectar. SGUIL y ELSA no tienen registros; incluso un tcpdump en ese puerto no muestra nada. Sé que hay tráfico en la red, pero no sé dónde se está perdiendo.
¿Alguien ha configurado algo similar? ¿Hubo alguna configuración particular necesaria?