<div dir="ltr"><div><div>Robert,<br></div>Thanks for your time and providing your script.  I'm debugging the script provided by SNORT and may incorporate some of your code.<br></div>I'll repost if there is something I can share.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 31, 2014 at 10:00 AM, Robert Millott <span dir="ltr"><<a href="mailto:robm@...16885..." target="_blank">robm@...17024.....</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Here is a copy of my script. May not be the best thing possible, but it works for us.  If anyone has suggestions on how to improve it, Ill definitely take them.<div><br></div><div><div>#!/bin/sh</div><div>#get the interface that doesn't have an ipv4 address assigned to it. Assume thats the sniffing interface</div><div>export iface=$(ifconfig | grep -B1 "inet6" | awk '$1!="inet6" && $1!="--" && $1!="inet" {print $1}' | sed 's/:$//                                                                                                                            ')</div><div>ifconfig $iface up</div><div>if [ -f /etc/snort/pid1/snort*.pid ]</div><div>     then</div><div>        echo -e "Shutting down Snort" //etc/snort/pid1/snort_$iface.pid "\n"</div><div>        /sbin/start-stop-daemon --stop --retry=TERM/30/KILL/5 --quiet --pidfile /etc/snort/pid1/snort_$iface.pid</div><div>        if [ $? -gt 0 ]</div><div>        then</div><div>                echo "start-stop-daemon failed. See above for reason"</div><div>                sleep 15</div><div>        fi</div><div>fi</div><div><br></div><div>if [ -f /etc/snort/pid1/barnyar2.pid ]</div><div>then</div><div>        echo -d "Shutting down Barnyard " /etc/snort/pid1/barnyard2_$iface.pid "\n"</div><div>        /sbin/start-stop-daemon --stop --retry=TERM/30/KILL/5 --quiet --pidfile /etc/snort/pid1/barnyard2_$iface.                                                                                                                            pid</div><div>        if [ $? -gt 0 ]</div><div>                then</div><div>                echo "start-stop-daemon failed. See above for reason"</div><div>                sleep 15</div><div>        fi</div><div>fi</div><div><br></div><div>if [ -f /etc/snort/pid2/snort*.pid ]</div><div>then</div><div>        echo -e "Shutting down second instance of snort" /etc/snort/pid2/snort_$iface.pid "\n"</div><div>        /sbin/start-stop-daemon --stop --retry=TERM/30/KILL/5 --quiet --pidfile /etc/snort/pid1/barnyard2_$iface.                                                                                                                            pid</div><div>        if [ $? -gt 0 ]</div><div>        then</div><div>                echo "start-stop-daemon failed. See above for reason"</div><div>                sleep 15</div><div>        fi</div><div>fi</div><div>if [ -f /etc/snort/pid1/barnyar2.pid ]</div><div>then</div><div>        echo -d "Shutting down Barnyard " /etc/snort/pid2/barnyard2_$iface.pid "\n"</div><div>        /sbin/start-stop-daemon --stop --retry=TERM/30/KILL/5 --quiet --pidfile /etc/snort/pid2/barnyard2_$iface.pid</div><div>        if [ $? -gt 0 ]</div><div>        then</div><div>                echo "start-stop-daemon failed. See above for reason"</div><div>                sleep 15</div><div>        fi</div><div>fi</div><div>echo "ensuring all snort and barnyard processes are killed"</div><div>killall snort</div></div><div><div>killall barnyard2</div><div>rm -rf /etc/snort/pid1/barnyard*</div><div>echo -e "Starting Snort\n"</div><div>/usr/bin/snort -c /etc/snort/snort1.conf --pid-path /etc/snort/pid1 --daq pcap --daq-dir /usr/lib64/daq --daq-mode passive -i $iface -F /etc/snort/bpf.filter -D</div><div>if [ $? -gt 0 ]</div><div>then</div><div>        tail /var/log/messages -n 200 | grep snort | grep ERROR</div><div>        echo "starting snort failed.  See above for reason"</div><div>        sleep 15</div><div>fi</div><div>echo -e "starting Barnyard\n"</div><div>/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard1.waldo -i barnyard1 -I --pid-path /etc/snort/pid1 -D</div><div>if [ $? -gt 0 ]</div><div>then</div><div>        tail /var/log/messages -n 200 | grep barnyard| grep ERROR</div><div>        echo "starting barnyard failed.  See above for reason"</div><div>        sleep 15</div><div>fi</div><div>#if a second bpf filter exists, run a second instance of snort using second bpf filter</div><div>if [ -f /etc/snort/bpf_*.filter ]</div><div>then</div><div>        echo -e "Starting second instance of Snort\n"</div><div>        /usr/sbin/snort -c /etc/snort/snort2.conf --pid-path /etc/snort/pid2 -daq pcap --daq-dir /usr/lib64/daq --daq-mode passive -i $iface -F /etc/snort/bpf_*.filter -D</div><div>        echo -e "starting second instance of Barnyard\n"</div><div>        /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort2.u2 -w /var/log/snort/barnyard2.waldo -i barnyard2 -I --pid-path /etc/snort/pid2 -D</div><div>fi</div></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Fri, Oct 31, 2014 at 9:16 AM, test engineer <span dir="ltr"><<a href="mailto:test12524@...11827..." target="_blank">test12524@...11827...</a>></span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><div dir="ltr">


        
        
        
        


<p style="margin-bottom:0in">Greetings, I'm evaluating Snort in a
lab environment and need some assistance creating an init.d startup
script.  I have attempted to use the one provided by the Snort
community but can't get it to work.</p>
<p style="margin-bottom:0in">I have a Dell R720xd running CentOS 6.5
minimal install. Running 8 daemon mode processes of Snort 2.9.6.2
using DAG 10Ge hardware interface with  2-tuple Hash Load Balancing
config.  So far the testing has gone very well.  Just need to setup
an init.d to restart everything in case of power failure. Any
guidance is appreciated.</p>

</div>
<br></span>------------------------------------------------------------------------------<br>
<br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<span class="HOEnZb"><font color="#888888"><br></font></span></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br>Robert Millott<br>President, Millott and Associates<br><a href="tel:%28443%29%20255-3588" value="+14432553588" target="_blank">(443) 255-3588</a><br>
</font></span></div>
</blockquote></div><br></div>