<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle21
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle24
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle25
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle26
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle27
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle28
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle29
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle30
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle31
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle32
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="FR" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D;mso-fareast-language:EN-US">Hmmm, yeah indeed. I think this is the pb. I’ll clean everything and keep you updated.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Btw how can I check I run the actual snort binary?<br>
<br>
</span><span lang="EN-US" style="color:#1F497D;mso-fareast-language:EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US">De :</span></b><span lang="EN-US"> Mike Stepanek (mstepane) [mailto:mstepane@...5...]
<br>
<b>Envoyé :</b> mercredi 2 septembre 2015 15:53<br>
<b>À :</b> Gabriel Corre <gabriel.corre@...94...>; Costas Kleopa (ckleopa) <ckleopa@...5...><br>
<b>Cc :</b> snort-openappid@lists.sourceforge.net<br>
<b>Objet :</b> RE: [Snort-openappid] Snort exits when using appid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">... and, along with that, verify that you're running the actual snort binary that you think you're running.  Again, let's just sanity check all of those things.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Mike Stepanek (mstepane)
<br>
<b>Sent:</b> Wednesday, September 02, 2015 9:49 AM<br>
<b>To:</b> 'Gabriel Corre'; Costas Kleopa (ckleopa)<br>
<b>Cc:</b> <a href="mailto:snort-openappid@lists.sourceforge.net">snort-openappid@lists.sourceforge.net</a><br>
<b>Subject:</b> RE: [Snort-openappid] Snort exits when using appid</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">One possibility is that there's some disconnect between the snort build that you're running and the dynamic preproc libraries that it's using.  Had you ever compiled/installed without AppID?  Is
 it possible that you've got a combo of some new stuff running and some old stuff running?  I would suggest trying to clean things up and take a fresh stab at a configure/compile/install.  Do a "make clean distclean" from the top level, redo your configure
 (w/ AppID), redo the make, and redo the make install.  Verify that the installed versions that you're running are the ones that you just built (by timestamps or whatever).  Make sure the Snort binary is the one you just built.  Make sure the dynamic libraries
 are the ones you just built (they're located in the "dynamicpreprocessor" and "dynamicengine" directories specific in your snort.conf that you're pointing to).  Let's just sanity check that kind of stuff first.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Gabriel Corre [<a href="mailto:gabriel.corre@...94...">mailto:gabriel.corre@...94...</a>]
<br>
<b>Sent:</b> Wednesday, September 02, 2015 9:18 AM<br>
<b>To:</b> Mike Stepanek (mstepane); Costas Kleopa (ckleopa)<br>
<b>Cc:</b> <a href="mailto:snort-openappid@lists.sourceforge.net">snort-openappid@lists.sourceforge.net</a><br>
<b>Subject:</b> RE: [Snort-openappid] Snort exits when using appid</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Yep :<br>
<br>
ns376746% sudo snort -V</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">   ,,_     -*> Snort! <*-</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">  o"  )~   Version 2.9.7.5 GRE (Build 262)</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">   ''''    By Martin Roesch & The Snort Team:
<a href="http://www.snort.org/contact#team">http://www.snort.org/contact#team</a></span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">           Copyright (C) 1998-2013 Sourcefire, Inc., et al.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">           Using libpcap version 1.7.4</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">           Using PCRE version: 8.30 2012-02-04</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">           </span><span style="color:#1F497D">Using ZLIB version: 1.2.7</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US">De :</span></b><span lang="EN-US"> Mike Stepanek (mstepane) [</span><a href="mailto:mstepane@...47.....5..."><span lang="EN-US">mailto:mstepane@...5...</span></a><span lang="EN-US">]
<br>
<b>Envoyé :</b> mercredi 2 septembre 2015 15:15<br>
<b>À :</b> Gabriel Corre <</span><a href="mailto:gabriel.corre@...94..."><span lang="EN-US">gabriel.corre@...94...</span></a><span lang="EN-US">>; Costas Kleopa (ckleopa) <</span><a href="mailto:ckleopa@...5..."><span lang="EN-US">ckleopa@...5...</span></a><span lang="EN-US">><br>
<b>Cc :</b> </span><a href="mailto:snort-openappid@...10....net"><span lang="EN-US">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US"><br>
<b>Objet :</b> RE: [Snort-openappid] Snort exits when using appid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">We will look into it.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">You're running Snort version 2.9.7.5 (snort -V), right?</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Gabriel Corre [<a href="mailto:gabriel.corre@...94...">mailto:gabriel.corre@...94...</a>]
<br>
<b>Sent:</b> Wednesday, September 02, 2015 3:38 AM<br>
<b>To:</b> Mike Stepanek (mstepane); Costas Kleopa (ckleopa)<br>
<b>Cc:</b> <a href="mailto:snort-openappid@lists.sourceforge.net">snort-openappid@lists.sourceforge.net</a><br>
<b>Subject:</b> RE: [Snort-openappid] Snort exits when using appid</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Again thanks for your help I couldn’t do it by myself ;)<br>
Here is the result of the “bt” command after remaking Snort with –enable-debug:</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><br>
Program received signal SIGSEGV, Segmentation fault.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">0x0000000000000001 in ?? ()</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">(gdb) bt</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">#0  0x0000000000000001 in ?? ()</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">#1  0x000076e79e12ce36 in AppIdInit (sc=0x5074cc0, args=0x510f5e0 "app_detector_dir /usr/local/etc/cisco/app") at spp_appid.c:172</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">#2  0x00000000004249be in ConfigurePreprocessors (sc=0x5074cc0, configure_dynamic=configure_dynamic@...99...=1) at parser.c:2111</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">#3  0x0000000000434928 in SnortInit (argv=0x7c930b6e7f98, argc=5) at snort.c:5197</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">#4  SnortMain (argc=5, argv=0x7c930b6e7f98) at snort.c:857</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">#5  0x000076e79f857ead in __libc_start_main () from /lib/x86_64-linux-gnu/libc.so.6</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">#6  0x000000000040580d in _start ()</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US">De :</span></b><span lang="EN-US"> Mike Stepanek (mstepane) [<a href="mailto:mstepane@...5...">mailto:mstepane@...5...</a>]
<br>
<b>Envoyé :</b> mardi 1 septembre 2015 16:51<br>
<b>À :</b> Gabriel Corre <<a href="mailto:gabriel.corre@...100....">gabriel.corre@...94...</a>>; Costas Kleopa (ckleopa) <<a href="mailto:ckleopa@...5...">ckleopa@...5...</a>><br>
<b>Cc :</b> <a href="mailto:snort-openappid@lists.sourceforge.net">snort-openappid@lists.sourceforge.net</a><br>
<b>Objet :</b> RE: [Snort-openappid] Snort exits when using appid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Also, if you configure Snort with "--enable-debug" and remake it, that might make for a better backtrace.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Mike Stepanek (mstepane)
<br>
<b>Sent:</b> Tuesday, September 01, 2015 10:48 AM<br>
<b>To:</b> Gabriel Corre; Costas Kleopa (ckleopa)<br>
<b>Cc:</b> </span><a href="mailto:snort-openappid@lists.sourceforge.net"><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"><br>
<b>Subject:</b> Re: [Snort-openappid] Snort exits when using appid</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">I'm not having much luck reproducing what you're seeing.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Given that, if you're up for it, the most useful thing at this point would be to get a gdb stack trace on it then.  If you have gdb available, you can do a "gdb --args" in front of the snort command,
 and then "run" it.  When it segv's, a backtrace ("bt") would be a big help probably (sorry for being overly instructional).</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Gabriel Corre [</span><a href="mailto:gabriel.corre@...94..."><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">mailto:gabriel.corre@...94...</span></a><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">]
<br>
<b>Sent:</b> Tuesday, September 01, 2015 10:41 AM<br>
<b>To:</b> Mike Stepanek (mstepane); Costas Kleopa (ckleopa)<br>
<b>Cc:</b> </span><a href="mailto:snort-openappid@lists.sourceforge.net"><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"><br>
<b>Subject:</b> RE: [Snort-openappid] Snort exits when using appid</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Well, echo $? return 139.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">--</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Gabriel C</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US">De :</span></b><span lang="EN-US"> Mike Stepanek (mstepane) [</span><a href="mailto:mstepane@...47.....5..."><span lang="EN-US">mailto:mstepane@...5...</span></a><span lang="EN-US">]
<br>
<b>Envoyé :</b> mardi 1 septembre 2015 16:37<br>
<b>À :</b> Gabriel Corre <</span><a href="mailto:gabriel.corre@...94..."><span lang="EN-US">gabriel.corre@...94...</span></a><span lang="EN-US">>; Costas Kleopa (ckleopa) <</span><a href="mailto:ckleopa@...5..."><span lang="EN-US">ckleopa@...5...</span></a><span lang="EN-US">><br>
<b>Cc :</b> </span><a href="mailto:snort-openappid@...10....net"><span lang="EN-US">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US"><br>
<b>Objet :</b> RE: [Snort-openappid] Snort exits when using appid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">OK, it's a little tough to tell if it's punting in AppID or somewhere else (those are the last messages you would see from AppID in a normal case).  I'm curious what return code you're getting. 
 Can you run Snort and then do an "echo $?" afterward?</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Gabriel Corre [</span><a href="mailto:gabriel.corre@...94..."><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">mailto:gabriel.corre@...94...</span></a><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">]
<br>
<b>Sent:</b> Tuesday, September 01, 2015 9:48 AM<br>
<b>To:</b> Mike Stepanek (mstepane); Costas Kleopa (ckleopa)<br>
<b>Cc:</b> </span><a href="mailto:snort-openappid@lists.sourceforge.net"><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"><br>
<b>Subject:</b> RE: [Snort-openappid] Snort exits when using appid</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Nop sir, just a miss-click. It’s a normal i !</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">--</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Gabriel Corré</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Ingénieur Réseaux, Ops - Core Infrastructure</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US">De :</span></b><span lang="EN-US"> Mike Stepanek (mstepane) [</span><a href="mailto:mstepane@...47.....5..."><span lang="EN-US">mailto:mstepane@...5...</span></a><span lang="EN-US">]
<br>
<b>Envoyé :</b> mardi 1 septembre 2015 15:33<br>
<b>À :</b> Gabriel Corre <</span><a href="mailto:gabriel.corre@...94..."><span lang="EN-US">gabriel.corre@...94...</span></a><span lang="EN-US">>; Costas Kleopa (ckleopa) <</span><a href="mailto:ckleopa@...5..."><span lang="EN-US">ckleopa@...5...</span></a><span lang="EN-US">><br>
<b>Cc :</b> </span><a href="mailto:snort-openappid@...10....net"><span lang="EN-US">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US"><br>
<b>Objet :</b> RE: [Snort-openappid] Snort exits when using appid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Is that a capital i for the "-i eth0"?</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">- Mike</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Gabriel Corre [</span><a href="mailto:gabriel.corre@...94..."><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">mailto:gabriel.corre@...94...</span></a><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">]
<br>
<b>Sent:</b> Tuesday, September 01, 2015 9:18 AM<br>
<b>To:</b> Mike Stepanek (mstepane); Costas Kleopa (ckleopa)<br>
<b>Cc:</b> </span><a href="mailto:snort-openappid@lists.sourceforge.net"><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"><br>
<b>Subject:</b> RE: [Snort-openappid] Snort exits when using appid</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Sorry I forgot the command line : sudo snort –c ./snort.conf –I eth0</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">--</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Gabriel C.</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US">De :</span></b><span lang="EN-US"> Gabriel Corre [</span><a href="mailto:gabriel.corre@...100...."><span lang="EN-US">mailto:gabriel.corre@...94...</span></a><span lang="EN-US">]
<br>
<b>Envoyé :</b> mardi 1 septembre 2015 15:14<br>
<b>À :</b> Mike Stepanek (mstepane) <</span><a href="mailto:mstepane@...5..."><span lang="EN-US">mstepane@...5...</span></a><span lang="EN-US">>; Costas Kleopa (ckleopa) <</span><a href="mailto:ckleopa@...5..."><span lang="EN-US">ckleopa@...5...</span></a><span lang="EN-US">><br>
<b>Cc :</b> </span><a href="mailto:snort-openappid@...10....net"><span lang="EN-US">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US"><br>
<b>Objet :</b> Re: [Snort-openappid] Snort exits when using appid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">I built Snort using this command : ./configure –enable-sourcefire –enable-open-appid. I installed Snort using the “Snort IPS tutorial” which is on snort.org<br>
My detector folder should be : “/usr/src/snort-2.9.7.5/src/dynamic-preprocessors/appid”<br>
My appid conf folder is : “</span><span lang="EN-US">/usr/local/etc/cisco/app/odp”<br>
<br>
<span style="color:#1F497D">Do you need something else?<br>
Thanks for your help!</span><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">--</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Gabriel C.</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US">De :</span></b><span lang="EN-US"> Mike Stepanek (mstepane) [</span><a href="mailto:mstepane@...47.....5..."><span lang="EN-US">mailto:mstepane@...5...</span></a><span lang="EN-US">]
<br>
<b>Envoyé :</b> mardi 1 septembre 2015 14:54<br>
<b>À :</b> Costas Kleopa (ckleopa) <</span><a href="mailto:ckleopa@...5..."><span lang="EN-US">ckleopa@...5...</span></a><span lang="EN-US">>; Gabriel Corre <</span><a href="mailto:gabriel.corre@...96....."><span lang="EN-US">gabriel.corre@...94...</span></a><span lang="EN-US">><br>
<b>Cc :</b> </span><a href="mailto:snort-openappid@...10....net"><span lang="EN-US">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US"><br>
<b>Objet :</b> RE: [Snort-openappid] Snort exits when using appid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Also, if you can include the command line that you're using, that would be good too.  If you can get a complete dump of stdout/stderr from Snort too (rather than just the clip below), that would
 be great too.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Thanks!</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">- Mike Stepanek</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">   </span><a href="mailto:mstepane@...5..."><span lang="EN-US">mstepane@...5...</span></a><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"> </span><span lang="EN-US"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Costas Kleopa (ckleopa)
<br>
<b>Sent:</b> Tuesday, September 01, 2015 8:49 AM<br>
<b>To:</b> Gabriel Corre<br>
<b>Cc:</b> </span><a href="mailto:snort-openappid@lists.sourceforge.net"><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif">snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma",sans-serif"><br>
<b>Subject:</b> Re: [Snort-openappid] Snort exits when using appid</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">That userappid file is optional, it should not be the reason for your failure. 
<o:p></o:p></span></p>
<div>
<p class="MsoNormal"><span lang="EN-US">Could you send us your snort.conf file, tell us how you build snort, and where your detectors folder is located?
<o:p></o:p></span></p>
<div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span lang="EN-US">Thanks<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span lang="EN-US">Costas<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<p class="MsoNormal"><span lang="EN-US">On Sep 1, 2015, at 8:30 AM, Gabriel Corre <</span><a href="mailto:gabriel.corre@...94..."><span lang="EN-US">gabriel.corre@...94...</span></a><span lang="EN-US">> wrote:<o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<div>
<div>
<p class="MsoNormal"><span lang="EN-US">Hi !<br>
<br>
I’m currently working on getting snort working with openappid and I think I’m pretty close.<br>
However, when I’m launching Snort I get :<br>
Could not read configuration file /usr/local/etc/cisco/app/custom/userappid.conf<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">LuaJIT: Version LuaJIT 2.0.2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">    Setting tracker size to 211<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">AppInfo: AppId 3861 is UNKNOWN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">AppInfo: AppId 3970 is UNKNOWN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">AppInfo: AppId 939 is UNKNOWN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">AppInfo: AppId 939 is UNKNOWN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">AppInfo: AppId 1697 is UNKNOWN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">AppInfo: AppId 3971 is UNKNOWN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">AppInfo: AppId 3971 is UNKNOWN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">    TCP Port-Only Services<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-US">And Snort exits whithout any error message.<br>
I cannot find the “userappid.conf” but not sure this is the pb.<br>
<br>
<br>
<br>
<br>
<br>
<br>
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">This is my Snort info :<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Version 2.9.7.5 GRE (Build 262)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">   ''''    By Martin Roesch & The Snort Team:
</span><a href="http://www.snort.org/contact#team"><span lang="EN-US">http://www.snort.org/contact#team</span></a><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Copyright (C) 1998-2013 Sourcefire, Inc., et al.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Using libpcap version 1.7.4<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Using PCRE version: 8.30 2012-02-04<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Using ZLIB version: 1.2.7<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_POP  Version 1.0  <Build 1><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_SSH  Version 1.1  <Build 3><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_IMAP  Version 1.0  <Build 1><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_DNP3  Version 1.1  <Build 1><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_SMTP  Version 1.1  <Build 9><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_SDF  Version 1.1  <Build 1><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_GTP  Version 1.1  <Build 1><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_DNS  Version 1.1  <Build 4><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_SIP  Version 1.1  <Build 1><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: APPID  Version 1.1  <Build 4><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">           Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoNormal">Any Idea?<br>
<br>
Cheers<span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal">--<span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"> <span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal">Gabriel Corré<span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal">Ingénieur Réseaux, Ops - Core Infrastructure<span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"> <span lang="EN-US"><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Times New Roman",serif">------------------------------------------------------------------------------<br>
_______________________________________________<br>
Snort-openappid mailing list<br>
</span><a href="mailto:Snort-openappid@lists.sourceforge.net"><span lang="EN-US" style="font-size:12.0pt;font-family:"Times New Roman",serif">Snort-openappid@lists.sourceforge.net</span></a><span lang="EN-US" style="font-size:12.0pt;font-family:"Times New Roman",serif"><br>
</span><a href="https://lists.sourceforge.net/lists/listinfo/snort-openappid"><span lang="EN-US" style="font-size:12.0pt;font-family:"Times New Roman",serif">https://lists.sourceforge.net/lists/listinfo/snort-openappid</span></a><span lang="EN-US" style="font-size:12.0pt;font-family:"Times New Roman",serif"><br>
<br>
Please visit </span><a href="http://blog.snort.org"><span lang="EN-US" style="font-size:12.0pt;font-family:"Times New Roman",serif">http://blog.snort.org</span></a><span style="font-size:12.0pt;font-family:"Times New Roman",serif">
</span><span lang="EN-US" style="font-size:12.0pt;font-family:"Times New Roman",serif">to stay current on all the latest Snort news!</span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</blockquote>
</div>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Times New Roman",serif"> </span><span lang="EN-US"><o:p></o:p></span></p>
</div>
</div>
</div>
</body>
</html>