<div dir="ltr"><div>Oh just for some clarity in case someone is looking at this to fix their instance; the .so only was a typo on my part when copying the file missing the .0 off the end. So basically the .2 stuff is what it is now but both libwsutil and libwiretap is looking for .so.0 so doing a find for the file and then copying it into the filename it is looking for fixed it for me. Obviously when wireshark was updated which provides these for mergecap it changed.<br>
<br>find / -name "*libwsutil*"<br>/usr/lib64/libwsutil.so.2<br><u><b>/usr/lib64/libwsutil.so</b></u> <<< typo and wasn't there by default<br>/usr/lib64/libwsutil.so.2.0.0<br><br></div>Thanks again for all your help,<br>
Kevin <br><div><div class="gmail_extra"><br><br><div class="gmail_quote">On 6 January 2014 12:14, Kevin Ross <span dir="ltr"><<a href="mailto:kevross33@...14012..." target="_blank">kevross33@...14012...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Yipeee I got it working (at least on one local collector but I imagine I will get it working on my other one and the web interface will work). I got the following 2 errors (the second came up after I fixed the first)<br>

<br>Merge command is "/usr/bin/mergecap -w /tmp/1389009687-2.pcap  /tmp/mN8Mph4zQ0/1389009687-2.pcap-1389009508.pcap"<br>/usr/bin/mergecap: error while loading shared libraries: libwiretap.so.0: cannot open shared object file: No such file or directory<br>

<br>Merge command is "/usr/bin/mergecap -w /tmp/1389010129-2.pcap  /tmp/l9uKBGa8q1/1389010129-2.pcap-1389009904.pcap"<br>/usr/bin/mergecap: error while loading shared libraries: libwsutil.so.0: cannot open shared object file: No such file or directory<br>

<br></div>Now doing a find on them returned this pretty much for both of them (with the respective library). <br>find / -name "*libwsutil*"<br>/usr/lib64/libwsutil.so.2<br>/usr/lib64/libwsutil.so<br>/usr/lib64/libwsutil.so.2.0.0<br>

<br></div>Doing cp /usr/lib64/libwsutil.so /usr/lib64/libwsutil.so.0 for each of them respectively (so the libwiretap too) so it could find the file seems to have fixed this. I guess a wireshark update in Centos 6.4 changed the naming and thus broke it as wireshark provides these.<br>

<br></div>Thanks for taking the time to help me out.<br><br>Kindest Regards,<br>Kevin Ross <br></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On 30 December 2013 11:39, Leon Ward <span dir="ltr"><<a href="mailto:lward@...1935..." target="_blank">lward@...1935...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Kevin,<div><br></div><div>It's likely that there are some errors in syslog you can use to work out what's causing the problem. If there is nothing obvious in syslog you could start the queue daemon in debug mode, however make sure you run it in the context of the same user that starts the daemon itself; In my case that's a user called 'openfpc'.</div>


<div><br></div><div>The most simple method would be to "sudo" to the user, and then run the following interactively on the console. </div><div><br></div><div><div>lward@...16644...:~$ sudo -i                            # for root access</div>


<div>root@...16644...:~# sudo -u openfpc /bin/bash  # Interactive shell as the openfpc user</div><div>bash: /root/.bashrc: Permission denied   </div><div>openfpc@...16644...:~$ whoami</div><div>openfpc</div><div>openfpc@...16644...:~$ openfpc-queued -c /etc/openfpc/openfpc-default.conf --debug</div>


<div>Mon Dec 30 11:27:04 2013 GMT: NONAME DEBUG Enabled</div><div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: SHA1 passwords enabled - Reading /etc/openfpc/openfpc.passwd</div><div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: Adding user "admin" PassHash "XXXX"</div>


<div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: Adding user "openfpc" PassHash "XXXX"</div><div>Mon Dec 30 11:27:04 2013 GMT: Default_Node START: *********** OpenFPC 0.6 **********</div><div>Mon Dec 30 11:27:04 2013 GMT: Default_Node START: **    <a href="http://www.openfpc.org" target="_blank">http://www.openfpc.org</a>    **</div>


<div>Mon Dec 30 11:27:04 2013 GMT: Default_Node START: Starting OFPC Node "Default_Node" as an OpenFPC Node</div><div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: Node Description: "An OpenFPC node. <a href="http://www.openfpc.org" target="_blank">www.openfpc.org</a>"</div>


<div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: Enabled : y</div><div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: local savedir : /tmp</div><div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: Buffer Path : /var/tmp/openfpc/pcap</div>


<div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: mergecap : /usr/bin/mergecap</div><div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: tcpdump : /usr/sbin/tcpdump</div><div>Mon Dec 30 11:27:04 2013 GMT: Default_Node DEBUG: Keep files : 0</div>


<div>Mon Dec 30 11:27:04 2013 GMT: Default_Node START: Starting listener on TCP:4242</div></div><div><br></div><div><snip></div><div>Then make your request. You'll see something like the below take place. The exact output will vary because I'm running a different version to you:</div>


<div><br></div><div><div>Mon Dec 30 11:30:51 2013 GMT: Default_Node COMMS: <a href="http://127.0.0.1" target="_blank">127.0.0.1</a>: RID: 2 Fetch Request OK -> WAIT!</div><div>Mon Dec 30 11:30:51 2013 GMT: Default_Node NODE : Request: 2 User: admin Action: fetch BPF: host 192.168.43.1</div>


<div>Mon Dec 30 11:30:51 2013 GMT: Default_Node DEBUG: WARNING vdebug not enabled to inspect pcap filename selection</div><div>Mon Dec 30 11:30:51 2013 GMT: Default_Node DEBUG: PCAP roster (2 files in total) for extract is: /var/tmp/openfpc/pcap/openfpc-Default_Node.pcap.1387894639 /var/tmp/openfpc/pcap/openfpc-Default_Node.pcap.1387886703<br>


</div><div>Mon Dec 30 11:30:51 2013 GMT: Default_Node DEBUG: Doing Extraction with BPF host 192.168.43.1 into tempdir /tmp/IUriAdyGjy</div><div>Mon Dec 30 11:30:51 2013 GMT: Default_Node EXTR : Merge command is "/usr/bin/mergecap -w /tmp/1388403051-2.pcap  /tmp/IUriAdyGjy/1388403051-2.pcap-1387894639.pcap /tmp/IUriAdyGjy/1388403051-2.pcap-1387886703.pcap"</div>


<div>Mon Dec 30 11:30:51 2013 GMT: Default_Node NODE : Request: 2 User: admin Result: 1388403051-2.pcap, 24, ab487d36057d446b6a8b72091da72f23</div><div>Mon Dec 30 11:30:51 2013 GMT: Default_Node COMMS: 2 127.0.0.1 Sending File:/tmp/1388403051-2.pcap MD5: ab487d36057d446b6a8b72091da72f23</div>


<div>Mon Dec 30 11:30:51 2013 GMT: Default_Node COMMS: Uploaded 1 x 1KB chunks</div><div>Mon Dec 30 11:30:51 2013 GMT: Default_Node COMMS: 127.0.0.1 Request: 2 : Transfer complete</div><div>Mon Dec 30 11:30:51 2013 GMT: Default_Node COMMS: 127.0.0.1 Request: 2 : Cleaning up.</div>


</div><div><br></div><div>Cheers<span><font color="#888888"><br></font></span></div><span><font color="#888888"><div><br></div><div>-Leon</div></font></span><div><div><div><br></div>
<div class="gmail_extra"><br><br><div class="gmail_quote">On 19 December 2013 10:49, Kevin Ross <span dir="ltr"><<a href="mailto:kevross33@...14012..." target="_blank">kevross33@...14012...</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Something else to note is that I have checked the traffic is there and then requested using the openfpc-client tool. When I do ps aux | grep tcpdump when I have made the request (using a second shell) I can see tcpdump processes going through the PCAPs with the correct filters as I would expect. it just doesn't seem to get the traffic back out.<br>



</div><div><div><div class="gmail_extra"><br><br><div class="gmail_quote">On 19 December 2013 08:31, Kevin Ross <span dir="ltr"><<a href="mailto:kevross33@...14012..." target="_blank">kevross33@...14012...</a>></span> wrote:<br>



<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>Hi,<br><br></div>Yup confirmed data is definately in those PCAPs I am requesting using tcpdump. When I request for the same data using the openfpc-client tool it does not work. How do I enable more debug/where do I look for  more information for what it is having issues with (as -d isn't showing me the failure reason). <br>




<br>Thanks,<br></div>Kevin<br></div><div><div><div class="gmail_extra"><br><br><div class="gmail_quote">On 18 December 2013 15:49, Jeremy Hoel <span dir="ltr"><<a href="mailto:jthoel@...11827..." target="_blank">jthoel@...11827...</a>></span> wrote:<br>




<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">If you go to where you pcaps are kept and look at them, can you tcpdump the packets that you are looking for?  Let's make sure the data is there. </p>





<p dir="ltr">Once that works we can turn on debug for a few more things.  Adding the debug to the client doesn't always turn it on for the other parts.  <br>
</p><div><div>
<div class="gmail_quote">On Dec 18, 2013 6:11 AM, "Kevin Ross" <<a href="mailto:kevross33@...14012..." target="_blank">kevross33@...846....14012...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div dir="ltr"><div><div><div>Hi,<br><br></div>Still no luck with it and no idea what is actuall wrong. I have tried debug run directly on the hosts (the capture nodes)<br><br>----Config----<br>Server   :  localhost<br>Port     :  4242<br>






User     :  REMOVED<br>Action   :  fetch<br>Logtype  :  auto<br>Logline  :  0<br>Filename :  /tmp/out.pcap<br>SumType  :  0<br>Last     :  30<br>stime    :  1387371705 Wed Dec 18 13:01:45 2013<br>etime    :  1387371735 Wed Dec 18 13:02:15 2013<br>






<br><br>   * openfpc-client 0.6 *<br>   Part of the OpenFPC project<br><br>Logline created from session IDs: ofpc-v1 type:search sip:REMOVED stime:1387371705 etime:1387371735 timestamp:<br>Password for user fpc :<br>DEBUG: Connected to localhost<br>






DEBUG: Sent Request<br>Problem processing request: 0<br><br></div>I thought maybe it was an SELINUX issue so I have both relabelled the filesystem and then after that not working I have disabled SELINUX but still doesn't work. It is running according to status & also it is making captures on the disk fine. <br>






<br></div>Thanks,<br>Kevin<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 17 December 2013 20:32, Leon Ward <span dir="ltr"><<a href="mailto:lward@...1935..." target="_blank">lward@...14182.....</a>></span> wrote:<br>






<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">Trying to send again. I don't think the 1st try made it to the list...</span><div>






<span style="font-family:arial,sans-serif;font-size:13px"><br></span></div>
<div><br></div><div class="gmail_extra"><div class="gmail_quote"><div>On 17 December 2013 12:09, Joel Esler (jesler) <span dir="ltr"><<a href="mailto:jesler@...589..." target="_blank">jesler@...589...</a>></span> wrote:<br>







<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Forwarded to the developer.<br></blockquote><div><br></div>







</div><div><div><span style="font-family:arial,sans-serif;font-size:13px">Yeah, that would be me - although I'm fighting to find any time to look at it right now so it's becoming a little out of date. I've got a long todo list to work though. Are there a</span><span style="font-family:arial,sans-serif;font-size:13px">ny logs you could share to help work out what could be broken?</span></div>







<div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">I suggest you start up the openfpc daemon interactively with --debug and make the request again.</div>






<span><font color="#888888">
<div style="font-family:arial,sans-serif;font-size:13px"><br></div></font></span></div><span><font color="#888888"><div style="font-size:13px;font-family:arial,sans-serif">-L</div></font></span></div><div>
<div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div><div><br>
On Dec 17, 2013, at 11:25 AM, Kevin Ross <<a href="mailto:kevross33@...846....14012..." target="_blank">kevross33@...14012...</a>> wrote:<br>
<br>
> Hi,<br>
><br>
> Running openfpc. Was working fine for months and months and now this when I try and get a PCAP (nothing changed aside from maybe updates: unable to proxy-merge<br>
><br>
> Has anyone run into this (I am asking on this userlist as it was a sourcefire employee made tool :)<br>
><br>
> Thanks,<br>
> Kevin<br>
</div></div><div><div>> ------------------------------------------------------------------------------<br>
> Rapidly troubleshoot problems before they affect your business. Most IT<br>
> organizations don't have a clear picture of how application performance<br>
> affects their revenue. With AppDynamics, you get 100% visibility into your<br>
> Java,.NET, & PHP application. Start your 15-day FREE TRIAL of AppDynamics Pro!<br>
> <a href="http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk_______________________________________________" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk_______________________________________________</a><br>








> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Rapidly troubleshoot problems before they affect your business. Most IT<br>
organizations don't have a clear picture of how application performance<br>
affects their revenue. With AppDynamics, you get 100% visibility into your<br>
Java,.NET, & PHP application. Start your 15-day FREE TRIAL of AppDynamics Pro!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div></div></div><br><div><br></div>
</div></div>
</blockquote></div><br></div>
<br>------------------------------------------------------------------------------<br>
Rapidly troubleshoot problems before they affect your business. Most IT<br>
organizations don't have a clear picture of how application performance<br>
affects their revenue. With AppDynamics, you get 100% visibility into your<br>
Java,.NET, & PHP application. Start your 15-day FREE TRIAL of AppDynamics Pro!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>






Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><div><br></div>
</div></div></div></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div></div></div>