<P>Shane, I did get the source of libcap I compiled it after adding the following lines to the savefile.c -
<P>#ifdef linux<BR>#define _FILE_OFFSET_BITS 64<BR>#define _LARGEFILE64_SOURCE<BR>#endif<BR>
<P>However, when it compiled, it created a .a static library instead of an .so shared object library that my current Snort is running against.  Any ideas how I can get a .so file compiled?  Thanks.
<P> <B><I>Shane Williams <shanew@...5387...></I></B> wrote:
<BLOCKQUOTE style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid">Actually, this isn't a filesystem limit if you're using ext2 or ext3<BR>on RH 7.2<BR><BR>It might be in snort, but from my expereince with tcpdump, I would<BR>suspect the libpcap package.<BR><BR>I compiled my own libpcap because I was running into the same 2G limit<BR>with tcpdump. The trick is to add "-D_FILE_OFFSET_BITS=64<BR>-D_LARGEFILE_SOURCE" to the "DEFS =" line in your makefile. After<BR>replacing the RH supplied libpcap with my version, tcpdump will go<BR>much higher (I can't say for sure, but I've got files as large as 12G<BR>now).<BR><BR>I suspect if you do a search for that string you'll more about this<BR>issue, and a better explanation. <BR><BR><BR>On Thu, 9 Jan 2003, Javier Liendo wrote:<BR><BR>> hello<BR>> <BR>> because of the configuration you mentionend you are<BR>> using the ext3 filesystem and afaik that's a limit<BR>> imposed by the filesystem iteself: no file can be<BR>> bigger than 2GB. i used to have a hogwash process that<BR>> crashed everytime the log file grew more than 2GB<BR>> long...hope it helps...<BR>> <BR>> saludos<BR>> <BR>> javier<BR>> <BR>> --- Sammy X <SAMMY7887@...1688...>wrote:<BR>> > <BR>> > Has anyone else run into any problems where logging<BR>> > in tcpdump format stops once the log file reaches<BR>> > 2GB? I'm using Snort 1.8.6 (Build 105) on a Redhat<BR>> > 7.2 box with kernel 2.4.7-10. My libpcap is the one<BR>> > the came with Redhat (0.6.2-9). From what I've read<BR>> > so far, it looks like the problem is with libpcap<BR>> > not having been compiled with LFS. Any<BR>> > thoughts/suggestions? Any help is greatly<BR>> > appreciated! Thanks in advance.<BR>> > <BR>> > Sammy<BR>> > <BR>> > <BR>> > <BR>> > ---------------------------------<BR>> > Do you Yahoo!?<BR>> > Yahoo! Mail Plus - Powerful. Affordable. Sign up now<BR>> <BR>> <BR>> <BR>> -------------------------------------------------------<BR>> This SF.NET email is sponsored by:<BR>> SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!<BR>> http://www.vasoftware.com<BR>> _______________________________________________<BR>> Snort-users mailing list<BR>> Snort-users@lists.sourceforge.net<BR>> Go to this URL to change user options or unsubscribe:<BR>> https://lists.sourceforge.net/lists/listinfo/snort-users<BR>> Snort-users list archive:<BR>> http://www.geocrawler.com/redir-sf.php3?list=snort-users<BR>> <BR><BR>-- <BR>Public key #7BBC68D9 at | Shane Williams<BR>http://pgp.mit.edu/ | System Admin - UT iSchool<BR>=----------------------------------+-------------------------------<BR>All syllogisms contain three lines | shanew@...5387...<BR>Therefore this is not a syllogism | www.ischool.utexas.edu/~shanew<BR></BLOCKQUOTE><p><br><hr size=1>Do you Yahoo!?<br>
<a href="http://rd.yahoo.com/mail/mailsig/*http://mailplus.yahoo.com">Yahoo! Mail Plus</a> - Powerful. Affordable. <a href="http://rd.yahoo.com/mail/mailsig/*http://mailplus.yahoo.com">Sign up now</a>