<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>
<META content="MSHTML 5.00.3211.1700" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>is the directory /var/log/snort existing?  
snort would just exit if it's log directory doesn't exist when it 
starts.</FONT></DIV>
<DIV> </DIV>
<DIV> </DIV>
<BLOCKQUOTE 
style="BORDER-LEFT: #000000 2px solid; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px; PADDING-LEFT: 5px; PADDING-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B> 
  <A href="mailto:m25@...1171..." title=m25@...1171...>Mark Kunzmann</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A 
  href="mailto:snort-users@lists.sourceforge.net" 
  title=snort-users@lists.sourceforge.net>snort-users@...973...et</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Thursday, April 12, 2001 2:40 
  PM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> [Snort-users] Snort in daemon 
  mode</DIV>
  <DIV><BR></DIV>
  <DIV><FONT face=Arial size=2>Hi there,</FONT></DIV>
  <DIV><FONT face=Arial size=2>I would think this has cropped up before, 
  however, a search through the archives didn't reveal anything that would solve 
  my problem: I can't seem to get snort to run in daemon mode. I have a RedHat 
  6.2 box sitting between my home LAN and the internet (libpcap 0.4-19) / Snort 
  1.7 installed from the rpm. The weird thing is, when I boot the machine I get 
  'Starting snortd [OK]' -- I also get a 'success' message in /var/log/messages. 
  When I do a ps -ax though, there's no process there. When I shut down the 
  machine it fails to find /var/lock/subsys/snort. Also, I don't know why my eth 
  card is switching modes all the time:</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2><snip></FONT></DIV>
  <DIV><FONT face=Arial size=2>....</FONT></DIV>
  <DIV><FONT face=Arial size=2>Apr 12 12:09:36 mango snort: Initializing daemon 
  mode<BR>Apr 12 12:09:36 mango snortd: snort startup succeeded<BR>Apr 12 
  12:09:36 mango kernel: eth1: Promiscuous mode enabled.<BR>Apr 12 12:09:36 
  mango kernel: device eth1 entered promiscuous mode<BR>Apr 12 12:09:37 mango 
  inet: inetd startup succeeded<BR>Apr 12 12:09:38 mango kernel: device eth1 
  left promiscuous mode</FONT></DIV>
  <DIV><FONT face=Arial size=2>Apr 12 12:09:38 mango pmfirewall: Starting 
  PMFirewall:<BR>Apr 12 12:09:53 mango pmfirewall: ^I^IDone!<BR>Apr 12 12:09:53 
  mango pmfirewall:</FONT></DIV>
  <DIV><FONT face=Arial size=2>....</FONT></DIV>
  <DIV><FONT face=Arial size=2></snip></FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>I have also included some stuff from 
  /etc/rc.d/init.d/snortd below. By the way, I can run snort as a packet sniffer 
  from the command line, but trying to start the daemon from there seems to fail 
  as well.</FONT></DIV>
  <DIV><FONT face=Arial size=2>Any help would be truly appreciated. Thank 
  you.</FONT></DIV>
  <DIV><FONT face=Arial size=2>cheers,</FONT></DIV>
  <DIV><FONT face=Arial size=2>Mark</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2><snip></FONT></DIV>
  <DIV><FONT face=Arial size=2>....</FONT></DIV>
  <DIV><FONT face=Arial size=2># Specify your network interface 
  here<BR>INTERFACE=eth1</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2># See how we were called.<BR>case "$1" 
  in<BR>  start)<BR>        echo -n 
  "Starting snort: "<BR>        daemon 
  /usr/sbin/snort -u snort -g snort -s -D 
  \<BR>                
  -i $INTERFACE -l /var/log/snort -c 
  /etc/snort/snort.conf<BR>        touch 
  /var/lock/subsys/snort<BR>        
  echo<BR>        ;;<BR>  
  stop)<BR>        echo -n "Stopping snort: 
  "<BR>        killproc 
  snort<BR>        rm -f 
  /var/lock/subsys/snort<BR>        
  echo<BR>        ;;</FONT></DIV>
  <DIV><FONT face=Arial size=2>.......</FONT></DIV>
  <DIV><FONT face=Arial size=2></snip></FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV></BLOCKQUOTE></BODY></HTML>