I've narrowed down the problem. It seems that this problem only occurs when I specify the -D command option to Daemonize snort.<br><br>running snort against br0 as root or the snort user using my snort.conf works perfectly fine, but the moment I go to daemonize it, it doesn't want to fork a child process for snort.<br>
<br><div class="gmail_quote">On Sat, Dec 15, 2012 at 12:35 AM, Tony Robinson <span dir="ltr"><<a href="mailto:deusexmachina667@...2499..." target="_blank">deusexmachina667@...2499...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I know that daq afpacket can handle bridging interfaces, but you should still be able to run snort against a bridge interface in 2.9.4? Or was that something I missed in the release notes?<br><br>I'm running into a problem where snort was failing to start and failing to write to Syslog. Undaunted, I attempt to start snort manually with the following command syntax:<br>

/usr/local/snort/bin/snort -D -u snort -g snort -c /usr/local/snort/etc/snort.conf -i br0 (bro is bridging eth1 and eth2)<br>..and I end up with the following error after the system tells me that it made a process for snort:<br>

Spawning daemon child...<br>fork: Cannot allocate memory<br><br>I did google-fu this error before coming here and most articles seem to point towards "not enough memory on system" or "are you on a VPS?" <br>

<br>-System is running in a virtual machine (ESXi 5.0.0)<br>-System is running on Ubuntu 12.04 64-bit with 1gb of memory (virtual machine)<br>-System had 800mb+ of free memory when command execution begins (running "watch free -m")<br>

-Drops down to 300mb of free memory before getting the error above and just giving up on starting or writing to the log or spawning the process (again, "watch free -m"), still plenty of memory for it to try to claim<br>

-the last lines in the log are:<br>CG snort[1448]: pcap DAQ configured to passive.<br>CG snort[1448]: Acquiring network traffic from "br0".<br>CG snort[1448]: Initializing daemon mode<br>..then nothing else from snort in the logs. No warns, no FATALs, nothing.<br>

-ran ulimit -a for the root user and the snort user to verify that I'm not putting any artificial resource limits on the snort user or root user. both snort and the root user have access to "unlimited" resources.<br>

<br><br>I'm at a loss as to why this is happening. Just to ensure that the problem wasn't with me trying to run snort against a bridge interface, I configured snort to run against eth1 instead, resulting in the same error. This problem also occurs after a reboot (I rebooted the box because some windows habits die hard.)<br>

<br>I have an strace on my system from running this command, but wanted to post here to see if maybe this was a known bug, issue, or if this is even an issue/bug at all and I'm just 'doing it wrong' before bothering to post it.<br>

<br>OS: ESXi 5.0.0 <br>VM: Ubuntu 12.04 64-bit<br>Snort 2.9.4 (text rules from 2931 registered users snapshot; configured via pulled pork (security ruleset); NO SO rules enabled(pp with -T option); compiled with --prefix=/usr/local/snort --enable-sourcefire and no other options)<br>

<br><br>I have another Ubuntu 12.04 vm (32-bit) configured to listen against eth1 and do not experience this problem at all.<br><br>Any ideas?<br><br>DA<span class="HOEnZb"><font color="#888888"><br><br>-- <br>when does reality end? when does fantasy begin?<br>

</font></span></blockquote></div><br><br clear="all"><br>-- <br>when does reality end? when does fantasy begin?<br>