<div dir="ltr"><div><div><div><div><div><div><div>The current `stats` function in the init.d script has been very unreliable for me, due to variations in the `startdate` variable recorded in the script and the timestamp when the log lines are actually written by snort.<br><br>Accordingly I have modified my init script to use the following:<br><br>    tac /var/log/messages | grep -m1 '*** Caught Dump Stats-Signal' -B147 | tac | grep snort.*: | cut -d: -f4-<br><br></div>This example of the basic `stats` function does the following:<br><br>1. Uses `tac` to reverse the order of `$SYSLOG`<br>2. Greps for the first occurrence of the snort stats start signature and includes an additional 147 lines of output<br></div>3. Reverses the order (again using `tac`) to return it to normal order<br></div>4. Filters out any non-snort lines<br></div><br></div>I think this is a more reliable approach. The only risk is if the stats aren't dumped correctly it could return an earlier collection of statistics, however I feel this is highly unlikely.<br><br></div><div>I looked for a public repository to provide a diff or pull request but could not find any.<br><br></div><div>Please let me know if you think this is suitable for inclusion for future releases.<br></div><div><br></div>Regards,<br><br></div>Peter<br></div>