Snort starts as a service - "service snort start or restart or stop" are the options there.  In order to shift your sensor to eth1 you need to modify the snort startup script in the /etc/init.d directory to change the default eth0 to eth1
<br>nwo<br><br><div><span class="gmail_quote">On 10/5/06, <b class="gmail_sendername"><a href="mailto:Greta.Ji@...4682...">Greta.Ji@...4682...</a></b> <<a href="mailto:Greta.Ji@...4682...">Greta.Ji@...4682...</a>> wrote:
</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>That is my another question. When I run "snort start", I got prompt:<br>
        Starting snort service:<br><br>What should I enter? I know, there are lot of reading, but I just start.<br><br><br>Thank you,<br><br>--Greta<br><br>-----Original Message-----<br>From: Patrick S. Harper [mailto:<a href="mailto:patrick@...4250...">
patrick@...4250...</a>]<br>Sent: Thursday, October 05, 2006 12:54 PM<br>To: Ji, Greta; <a href="mailto:kisero@...11827...">kisero@...11827...</a><br>Cc: <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net
</a><br>Subject: RE: [Snort-users] I can not see it<br><br>You will need to change the interface in your init script then restart<br>snort<br><br><br>-----Original Message-----<br>From: <a href="mailto:snort-users-bounces@lists.sourceforge.net">
snort-users-bounces@lists.sourceforge.net</a><br>[mailto:<a href="mailto:snort-users-bounces@lists.sourceforge.net">snort-users-bounces@lists.sourceforge.net</a>] On Behalf Of<br><a href="mailto:Greta.Ji@...4682...">Greta.Ji@...4682...
</a><br>Sent: Thursday, October 05, 2006 9:37 AM<br>To: <a href="mailto:kisero@...11827...">kisero@...11827...</a><br>Cc: <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>Subject: Re: [Snort-users] I can not see it
<br><br>Esteban,<br><br>Thank you to answer my mail. I spent few hours, finally fixed the<br>problem.<br>When I use "tcpdump -i eth1", I can see the traffic send from switch.<br>I have another problem. Snort/BASE only capture eth0 traffic, which I
<br>use for the monitor connection. I can not see traffic on eth1.<br><br>How can I sniff eth1 traffic to Snort? I checked the snort.conf, I did<br>not find anywhere for it.<br><br>Thank you for all of your help,<br><br>--Greta
<br>________________________________<br><br>From: Esteban Ribicic [mailto:<a href="mailto:kisero@...11827...">kisero@...11827...</a>]<br>Sent: Thursday, October 05, 2006 10:12 AM<br>To: Ji, Greta<br>Cc: <a href="mailto:Snort-users@lists.sourceforge.net">
Snort-users@lists.sourceforge.net</a><br>Subject: Re: [Snort-users] I can not see it<br><br><br>maybe u are confusing the nic u must sniff, try tcpdump -i any -n (under<br>linux)<br><br><br>On 10/3/06, <a href="mailto:Greta.Ji@...4682...">
Greta.Ji@...4682...</a> <<a href="mailto:Greta.Ji@...4682...">Greta.Ji@...4682...</a>> wrote:<br><br>        Hi,<br><br>        I am a new user on this list. I have a simple problem, and hope<br>to<br>get a<br>        help. I just installed Snort 
2.6 on Centos. I follow the<br>document to<br>bring<br>        eth1 up (eth0 has IP to connect to the Internal network).  But I<br>can<br>not<br>        see any traffic on eth1 (tcpdump -i eth1). I checked the switch,<br>
I<br>can see<br>        traffice on the interface (# sh interface f0/8):<br><br>            monitor session 1 source interface Fa0/2<br>            monitor session 1 destination interface Fa0/8<br><br>             270471 packets output, 65224246 bytes, 0 underruns
<br><br>        Did I missing anything at here? Could some one help me?<br><br>        Thank you,<br><br>        --Greta<br><br><br>------------------------------------------------------------------------<br>-<br>        Take Surveys. Earn Cash. Influence the Future of IT
<br>        Join SourceForge.net 's Techsay panel and you'll get the chance<br>to<br>share your<br>        opinions on IT & business topics through brief surveys -- and<br>earn<br>cash<br><br><a href="http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDE">
http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDE</a><br>V<br><br>        _______________________________________________<br>        Snort-users mailing list<br>        <a href="mailto:Snort-users@lists.sourceforge.net">
Snort-users@lists.sourceforge.net</a><br>        Go to this URL to change user options or unsubscribe:<br>        <a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users
</a><br>        Snort-users<br><<a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users">https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users</a>><br>list<br>archive:<br>        <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">
http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br><br><br><br><br><br><br><br><br>-------------------------------------------------------------------------<br>Take Surveys. Earn Cash. Influence the Future of IT
<br>Join SourceForge.net's Techsay panel and you'll get the chance to share your<br>opinions on IT & business topics through brief surveys -- and earn cash<br><a href="http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV">
http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV</a><br>_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net
</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:
<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br><br clear="all"><br>-- <br>Now at this last we must take a hard road, a road unforseen. 
<br>There lies our hope, if hope it be. To walk into peril to Mordor.