Hi,<div><br></div><div>I use a debian 5 modified by alienvault (OSSIM Siem). The kill -usr1 <pid> does not send anything to /var/log/message or /var/lod/snort*</div><div><br></div><div>I'll try the preproc (preprocessor perfmonito) wich seems to do what i want.</div>
<div><br></div><div>Thanks for your help</div><div><br></div><div>Thibault<br><br><div class="gmail_quote">2011/12/13 Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935...">jesler@...1935...</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">You can issue the USR1 command to Snort.<div><br></div><div>Kill -usr1 (pidof snort) will dump the stats of the running Snort process to the output file (on redhat/fedora, /var/log/messages)</div>
<div><br></div><div>J</div><div><br><div><div><div></div><div class="h5"><div>On Dec 13, 2011, at 8:10 AM, Thibault - Gonfreecs - wrote:</div><br></div></div><blockquote type="cite"><div style="font-size:10pt;font-family:Tahoma">
<div><div></div><div class="h5"><div dir="ltr"><font>Hi there,</font><div style="font-size:10pt"><br></div><div style="font-size:10pt">I need to get the amount of packet which have been dropped by snort.</div><div style="font-size:10pt">
<br></div><div style="font-size:10pt">I can get this when runing manualy snort (snort -n 100 -i eth0) in the stat summary after stoping snort (CTRL+C) like this :</div><div style="font-size:10pt"><br></div><div style="font-size:10pt">
.....</div><div style="font-size:10pt"><div dir="ltr"><font face="Tahoma" color="#000000">===============================================================================<br>Packet<a></a> I/O Totals<a></a>:<br>   Received<a></a>:          100<br>
   Analyzed<a></a>:          100 (100.000%)<br>    Dropped<a></a>:            0 (  0.000%)<br>   Filtered<a></a>:            0 (  0.000%)<br>Outstanding<a></a>:            0 (  0.000%)<br>   Injected<a></a>:            0<br>
===============================================================================<br></font></div></div><div dir="ltr" style="font-size:10pt"><font face="Tahoma" color="#000000">.....</font></div><div dir="ltr" style="font-size:10pt">
<font face="Tahoma" color="#000000"><br></font></div><div dir="ltr" style="font-size:10pt"><font face="Tahoma" color="#000000">Is there a way to get this information (dropped packets) in the /proc filesystem while snort is runing?</font></div>
<div dir="ltr" style="font-size:10pt"><font face="Tahoma" color="#000000"><br></font></div><div dir="ltr" style="font-size:10pt"><font face="Tahoma" color="#000000">I did not found anything interesting after looking at /proc but m</font><span style="font-size:10pt">aybe there is a preproc to activate or some tricks like this?</span></div>
<div dir="ltr" style="font-size:10pt"><font face="Tahoma" color="#000000"><br></font></div><div dir="ltr" style="font-size:10pt"><font face="Tahoma" color="#000000">Thanks in advance,</font></div><div dir="ltr" style="font-size:10pt">
<font face="Tahoma" color="#000000">Thibault</font></div></div></div></div>------------------------------------------------------------------------------<br>Systems Optimization Self Assessment<br>Improve efficiency and utilization of IT resources. Drive out cost and<span> </span><br>
improve service delivery. Take 5 minutes to use this Systems Optimization<span> </span><br>Self Assessment.<span> </span><a href="http://www.accelacomm.com/jaw/sdnl/114/51450054/_______________________________________________" target="_blank">http://www.accelacomm.com/jaw/sdnl/114/51450054/_______________________________________________</a><br>
Snort-users mailing list<br><a href="mailto:Snort-users@...5870....net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br><br>Please visit<span> </span><a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a><span> </span>to stay current on all the latest Snort news!</div>
</blockquote></div><br></div></div><br>------------------------------------------------------------------------------<br>
Systems Optimization Self Assessment<br>
Improve efficiency and utilization of IT resources. Drive out cost and<br>
improve service delivery. Take 5 minutes to use this Systems Optimization<br>
Self Assessment. <a href="http://www.accelacomm.com/jaw/sdnl/114/51450054/" target="_blank">http://www.accelacomm.com/jaw/sdnl/114/51450054/</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>