<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>Snort packet processing is still single thread, but it also has other threads such as reload thread, control socket thread etc. The reload thread should be idle majority of the time.  If you suspected it is restarting, you will not see any message like
 “snort reloaded…”. You will see “snort initializing “ or “restart” in the messages.</div>
<div><br>
</div>
<div>Best,</div>
<div>Hui.</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Y M <<a href="mailto:snort@...15979...">snort@...15979...</a>><br>
<span style="font-weight:bold">Date: </span>Wednesday, April 23, 2014 at 5:19 PM<br>
<span style="font-weight:bold">To: </span>waldo kitty <<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>>, "Gierczak, Stan" <<a href="mailto:sgierczak@...16714...">sgierczak@...16714...</a>><br>
<span style="font-weight:bold">Cc: </span>snort-users <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] AANVAL or MYSQL question<br>
</div>
<div><br>
</div>
<div><style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style>
<div class="hmmessage">
<div dir="ltr">> @YM: maybe these are two threads of the same process? i see similar on my own <br>
> systems... three of them if i compile with the reload capability...
<div><br>
</div>
<div>Isn't Snort single-threaded? I wouldn't imagine it will be creating another "thread" other than its own. On systems i look for there is only one process on every system I checked. May be OS specific? not likely?</div>
<div><br>
</div>
<div>I forgot to mentions that my systems are also compiled with reload. Which brings the question of if the Snort has been reloaded (not restarted) on these systems or these processes are showing up after a clean reboot?</div>
<div><br>
</div>
<div>YM</div>
<br>
<div>
<hr id="stopSpelling">
From: <a href="mailto:snort@...15979...">snort@...15979...</a><br>
To: <a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>; <a href="mailto:sgierczak@...16714...">
sgierczak@...16714...</a><br>
Date: Wed, 23 Apr 2014 21:13:32 +0000<br>
CC: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...sourceforge.net</a><br>
Subject: Re: [Snort-users] AANVAL or MYSQL question<br>
<br>
<style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}

--></style>
<div dir="ltr">> @YM: maybe these are two threads of the same process? i see similar on my own <br>
> systems... three of them if i compile with the reload capability...
<div><br>
</div>
<div>Isn't Snort single-threaded? I wouldn't imagine it will be creating another "thread" other than its own. On systems i look for there is only one process on every system I checked. May be OS specific? not likely?</div>
<div><br>
</div>
<div>YM<br>
<br>
<div>> Date: Wed, 23 Apr 2014 13:49:37 -0400<br>
> From: <a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a><br>
> To: <a href="mailto:SGierczak@...16714...">SGierczak@...16714...</a>;
<a href="mailto:snort@...15979...">snort@...15979...</a>; <a href="mailto:snort-users@lists.sourceforge.net">
snort-users@lists.sourceforge.net</a><br>
> Subject: Re: [Snort-users] AANVAL or MYSQL question<br>
> <br>
> On 4/22/2014 1:09 PM, Gierczak, Stan wrote:<br>
> [...]<br>
> > snort 1321 82.3 12.3 633956 501136 ? Rsl Apr21 1393:18<br>
> > /usr/sbin/snort -A fast -b -d -D -i eth0 -u snort -g snort -c<br>
> > /etc/snort/snort.conf -l /var/log/snort/eth0<br>
> ><br>
> > snort 3514 66.1 7.6 633684 308620 ? Rsl 12:01 4:34 /usr/sbin/snort<br>
> > -A fast -b -d -D -i eth0 -u snort -g snort -c /etc/snort/snort.conf -l<br>
> > /var/log/snort/eth0<br>
> <br>
> @YM: maybe these are two threads of the same process? i see similar on my own <br>
> systems... three of them if i compile with the reload capability...<br>
> <br>
> -- <br>
> NOTE: No off-list assistance is given without prior approval.<br>
> Please keep mailing list traffic on the list unless<br>
> private contact is specifically requested and granted.<br>
</div>
</div>
</div>
<br>
------------------------------------------------------------------------------ Start Your Social Network Today - Download eXo Platform Build your Enterprise Intranet with eXo Platform Software Java Based Open Source Intranet - Social, Extensible, Cloud Ready
 Get Started Now And Turn Your Intranet Into A Collaboration Platform <a href="http://p.sf.net/sfu/ExoPlatform">
http://p.sf.net/sfu/ExoPlatform</a><br>
_______________________________________________ Snort-users mailing list <a href="mailto:Snort-users@lists.sourceforge.net">
Snort-users@lists.sourceforge.net</a> Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a> Snort-users list archive:
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a> Please visit
<a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
</div>
</div>
</div>
</span>
</body>
</html>