<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>>>Snort:  s5: session exceeded configured max bytes to queue LWstate 0x1 LWFlags (have updated memcap to half the max @500MB)<BR> <BR>As far as I understand, the above message is related to the max_queued_bytes of the S5 TCP configurations and not memcap:<BR> <BR><a href="http://manual.snort.org/node73.html">http://manual.snort.org/node73.html</a> (look for the 12th item in the table). What is different from what I have seen is the part that says "LWstate 0x1 LWFlags". Usually, this is represented in bytes.<BR> <BR>YM<br> <BR><div><hr id="stopSpelling">Date: Thu, 10 Apr 2014 13:13:02 +1200<br>From: conma293@...11827...<br>To: thopeter@...589...; snort-users@lists.sourceforge.net<br>Subject: Re: [Snort-users] Fwd: Snort 'hangs'<br><br><div dir="ltr">im also going to think about reducing memcap back to default - may be putting too much resource on the VM; which has 4gb of the 8gb host RAM</div><div class="ecxgmail_extra"><br><br><div class="ecxgmail_quote">On Thu, Apr 10, 2014 at 12:40 PM, Matheus Condi'ez <span dir="ltr"><<a href="mailto:conma293@...11827..." target="_blank">conma293@...11827...</a>></span> wrote:<br>
<blockquote class="ecxgmail_quote" style="padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid;"><div dir="ltr"><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">
<br>   ,,_     -*> Snort! <*-</div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">
<div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">  o"  )~   Version 2.9.6.0 GRE (Build 47) </div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

<div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">   ''''    By Martin Roesch & The Snort Team: <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a></div>

<br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

           Copyright (C) 2014 Cisco and/or its affiliates. All rights reserved.</div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

           Copyright (C) 1998-2013 Sourcefire, Inc., et al.</div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

           Using libpcap version 1.1.1</div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

           Using PCRE version: 8.12 2011-01-15</div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

           Using ZLIB version: 1.2.3.4</div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

<br><br><br></div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

Just upgraded to community rules 2960 (with additional openSSL hearbeat rules from VRT for the boss - thankyou very much)</div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

<div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><br><br><br></div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

<div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">ive got one error here in full --></div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

<div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><br><br><br></div><br style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

<div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">S5: Session exceeded configured max segs to queue 2621 using 2621 segs (client queue)  <ip><port> --> <ip><port> (0): LWstate 0x9 LWFlags 0x406007</div>

<div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;"><br></div><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">

<br></div><div style="color: rgb(68, 68, 68); line-height: 21.29px; font-family: Calibri,sans-serif; font-size: 15px;">Also - it just crashed on me again, the other sensor is all go, hopefully the rules upgrade will fix this issue</div>

</div><div class="ecxHOEnZb"><div class="h5"><div class="ecxgmail_extra"><br><br><div class="ecxgmail_quote">On Thu, Apr 10, 2014 at 3:04 AM, Tom Peters (thopeter) <span dir="ltr"><<a href="mailto:thopeter@...15110...89..." target="_blank">thopeter@...589...</a>></span> wrote:<br>

<blockquote class="ecxgmail_quote" style="padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid;">



<div style="font-family: Calibri,sans-serif; font-size: 14px; -ms-word-wrap: break-word;">
<div>Matheus,</div>
<div><br>
</div>
<div>I'm taking a look at the source code.</div>
<div><br>
</div>
<div>Do you know exactly which build of Snort you are running?</div><div>
<div><br>
</div>
<div>>> Snort:  s5: session exceeded configured max bytes to queue LWstate 0x1 LWFlags (have updated memcap to half the max @500MB)</div>
<div dir="ltr"><br>
</div>
</div><div dir="ltr">Is this the exact error message? Could you send me the complete message?</div>
<div dir="ltr"><br>
</div>
<div dir="ltr">Thanks,</div>
<div dir="ltr">Tom Peters</div>
<div dir="ltr">Sourcefire Snort Development</div>
<div>
<div dir="ltr"><br>
</div>
</div>
<div><br>
</div>
<span>
<div style="border-width: 1pt medium medium; border-style: solid none none; border-color: rgb(181, 196, 223) currentColor currentColor; padding: 3pt 0in 0in; text-align: left; font-family: Calibri; font-size: 11pt;">


<span style="font-weight: bold;">From: </span>conma293 <<a href="mailto:conma293@...11827..." target="_blank">conma293@...11827...</a>><br>
<span style="font-weight: bold;">Date: </span>Wednesday, April 9, 2014 1:15 AM<br>
<span style="font-weight: bold;">To: </span>Snortusers <<a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@...8192...sourceforge.net</a>><br>
<span style="font-weight: bold;">Subject: </span>[Snort-users] Fwd: Snort 'hangs'<br>
</div><div><div>
<div><br>
</div>
<div>
<div dir="auto">
<div><br>
<br>
Sent from my iPhone</div>
<div><br>
Begin forwarded message:<br>
<br>
</div>
<blockquote>
<div><b>From:</b> "Matheus Condi'ez" <<a href="mailto:conma293@...13610...7..." target="_blank">conma293@...11827...</a>><br>
<b>Date:</b> 9 April 2014 4:17:49 PM NZST<br>
<b>To:</b> <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> <b>Snort 'hangs'</b><br>
<br>
</div>
</blockquote>
<blockquote>
<div>
<div dir="ltr">I have Snort running as an Ubuntu VM on a fedora host in two seperate dev environments with differing levels of traffic - one predominantly smtp (low levels) one web (high levels).
<div><br>
</div>
<div>Versions - </div>
<div><br>
</div>
<div>Snort: v2.9.6</div>
<div>Barnyard2-1.13</div>
<div>DAQ: v2.0.2</div>
<div><br>
</div>
<div>Current ruleset is community rules 28th Mar</div>
<div><br>
</div>
<div><br>
</div>
<div>The sensor in the low traffic smtp environment runs smooth</div>
<div><br>
</div>
<div>The sensor in the other environment however...</div>
<div>Snort runs fine for 3~9days, it will then stop outputting U2's for Barnyard.  Upon attempting to kill the snort process under sudo and/or root it fails to actually kill the process.  Killing the barnyard2 process is fine, as is killing the snort process
 if it is still outputting unified2.</div>
<div><br>
</div>
<div>I often see the following outputs, which may or may not be related (almost certainly not by2) - </div>
<div><br>
</div>
<div>Snort:  s5: session exceeded configured max bytes to queue LWstate 0x1 LWFlags (have updated memcap to half the max @500MB)</div>
<div><br>
</div>
<div>Barnyard2:  'lonely packet'; WARNING database called with Event Type [7] (P)acket [0x0]</div>
<div><br>
</div>
<div>I am at a loss as what to do now as I seem to have to reboot the sensor to kill the snort process every couple of days or so.</div>
</div>
</div>
</blockquote>
</div>
</div>
</div></div></span>
</div>

</blockquote></div><br></div>
</div></div></blockquote></div><br></div>
<br>------------------------------------------------------------------------------
Put Bad Developers to Shame
Dominate Development with Jenkins Continuous Integration
Continuously Automate Build, Test & Deployment 
Start a new project now. Try Jenkins in the cloud.
http://p.sf.net/sfu/13600_Cloudbees<br>_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!</div>                                      </div></body>
</html>