<br><br><div class="gmail_quote">On Tue, Jul 26, 2011 at 4:44 PM, Castle, Shane <span dir="ltr"><<a href="mailto:scastle@...14946...">scastle@...14946...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
The command "kill -SIGHUP <pid>" has not worked for some time with Snort IIRC (nor pkill, which I had been using before) and the suggested init.d entry for controlling snort does not use it, either, but rather stop and start:<br>

<br>
    restart|reload)<br>
        $0 stop<br>
        $0 start<br>
<br>
I suspect the doc needs updating.<br>
<br>
Add in using barnyard2 and things get more interesting. Here is my current cron script that uses oinkmaster (no pulledpork suggestions please):<br>
<br>
#!/bin/bash<br>
cd /etc/snort<br>
/sbin/service barnyard2 stop<br>
<br>
./<a href="http://oinkmaster.pl" target="_blank">oinkmaster.pl</a> -o ./rules -b ./backup -C ./bleeding-oink.conf -C ./oinkmaster.conf >oink.out 2>&1<br>
<br>
./<a href="http://create-sidmap.pl" target="_blank">create-sidmap.pl</a> rules >sid-msg.map<br>
/sbin/service snort restart<br>
/sbin/service barnyard2 start<br>
<br>
--<br>
Shane Castle<br>
Data Security Mgr, Boulder County IT<br>
CISSP GSEC GCIH<br>
<div class="im"><br>
-----Original Message-----<br>
From: RICHARD METZER [mailto:<a href="mailto:rlmst26@...14704...">rlmst26@...14704...</a>]<br>
</div><div class="im">Sent: Tuesday, July 26, 2011 14:24<br>
To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...sourceforge.net</a><br>
</div><div><div></div><div class="h5">Subject: [Snort-users] Reload Snort to use new ruleset<br>
<br>
I understand the command kill -SIGHUP <pid> should reload Snort with the ability to read an updated ruleset.  However, it only seems to kill it.  I am manually adding new rules, so I would like to reload Snort to avoid any downtime monitoring.  I used the -enable-reload switch when I compiled Snort on an Ubuntu OS.  What am I missing?<br>

<br>
<br>
Thanks in advance,<br>
<br>
Rick<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
As I understand the command kill -SIGHUP <pid> should reload Snort with the ability to read an updated ruleset; however, it only seems to kill it.  I am manually adding new rules, so I would like to reload Snort to avoid any downtime monitoring.  I used the --enable-reload switch when I compiled Snort. What am I missing?<br>

<br>
Thanks in advance!<br>
Rick<br><br></div></div></blockquote><div><br></div><div><br></div><div><br></div><div>Hi Gents,</div><div><br></div><div>You need to make sure Snort is compiled with the --enable-reload switch in your ./configure line.  This is to allow continued inspection when you make changes to your active .conf file.  Hope this helps!</div>
<div><br></div><div>marcos </div></div>