<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Helvetica;
        panose-1:2 11 6 4 2 2 2 2 2 4;}
@font-face
        {font-family:Helvetica;
        panose-1:2 11 6 4 2 2 2 2 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.bold1
        {mso-style-name:bold1;
        font-weight:bold;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-NZ" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Please reach out to the Endace Support at
</span><span class="bold1"><span lang="EN" style="font-size:11.0pt;font-family:"Helvetica","sans-serif";color:#361E5C"><a href="mailto:endace.support@...17003..."><span style="color:#F48329">endace.support@...17003...</span></a>   as they should be able to point
 you in the right direction.<o:p></o:p></span></span></p>
<p class="MsoNormal"><span class="bold1"><span lang="EN" style="font-size:11.0pt;font-family:"Helvetica","sans-serif";color:#361E5C"><o:p> </o:p></span></span></p>
<p class="MsoNormal"><span class="bold1"><span lang="EN" style="font-size:11.0pt;font-family:"Helvetica","sans-serif";color:#361E5C">Or call them
</span></span><span lang="EN" style="font-size:11.0pt;font-family:"Helvetica","sans-serif";color:#361E5C">US Toll Free: +1 866 501 3356<span class="bold1"><o:p></o:p></span></span></p>
<p class="MsoNormal"><span class="bold1"><span lang="EN" style="font-size:11.0pt;font-family:"Helvetica","sans-serif";color:#361E5C"><o:p> </o:p></span></span></p>
<p class="MsoNormal"><span class="bold1"><span lang="EN" style="font-size:11.0pt;font-family:"Helvetica","sans-serif";color:#361E5C">Else contact me directly and I will see what I can do.</span></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Regards<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:14.0pt;font-family:"Calibri","sans-serif";color:#FFC000">Endace was at AiSA Conference 2014 – Melbourne – October 15<sup>th</sup> – 17<sup>th</sup><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:14.0pt;font-family:"Calibri","sans-serif";color:#FFC000">It was good, see you there next year.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Robert Cotter<o:p></o:p></span></b></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Field Application Engineer – Endace, a division of Emulex<o:p></o:p></span></b></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><a href="mailto:robert.cotter@...17003...">robert.cotter@...17003...</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">DDI: +64 9 926 2931 Mob: +64 21 67 5550
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">LinkedIn:
<a href="http://nz.linkedin.com/pub/robert-cotter/4/3b/9a8">Robert Cotter</a>; Skype:
<a href="skype:endace.robert.cotter?add">endace.robert.cotter</a> <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Level 2, Building A<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">600 Great South Road<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Ellerslie, Auckland 1051, New Zealand<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Postal :-
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">PO Box 12894 Penrose<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Auckland 1642, New Zealand<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><a href="http://www.endace.com/">http://www.endace.com/</a>;
<a href="http://www.linkedin.com/companies/endace">LinkedIn</a>; follow us on <a href="http://twitter.com/endace">
Twitter</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">This message contains Emulex confidential information intended only for specific recipients and is not to be forwarded to anyone else. If you have received
 this message in error, please delete it immediately. Thank you<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Bill Bernsen [mailto:bill.bernsen@...6823...]
<br>
<b>Sent:</b> Friday, 14 November 2014 10:18 a.m.<br>
<b>To:</b> test engineer<br>
<b>Cc:</b> snort-users@lists.sourceforge.net<br>
<b>Subject:</b> Re: [Snort-users] SNORT and Emulex DAG<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">A couple things to try:<o:p></o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">1)  Have you confirmed your dag is configured, up, and running how you'd expect?  Check dagconfig to make sure it is receiving (and dropping) packets on all the interfaces you'd expect.  Then, attach tcpdump
 to one of the streams and confirm that it is working.<o:p></o:p></p>
</div>
<p class="MsoNormal">2)  Confirm your initscript is trying to attach to separate dag stream as network interfaces.  The debug information you provided here is sparse but it claims it doesn't have permission to attach to /dev/dag0.  I'm not sure if this is an
 artifact of what DAQ is doing behind the scenes but that isn't where I'd expect the data acquisition stack to connect.  It should be attaching to a network interface such as dag0:0.  What is the invocation line for snort in your script?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Thu, Nov 13, 2014 at 1:41 PM, test engineer <<a href="mailto:test12524@...11827..." target="_blank">test12524@...11827...</a>> wrote:<o:p></o:p></p>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Posting this again under specific subject of Emulex DAG<o:p></o:p></p>
<div>
<div>
<div>
<div>
<p class="MsoNormal">Still unsuccessful in getting the SNORT init.d script to work using an Emulex DAG card.  I have modified the scrip and it works just fine when executed via command line (/etc/init.d/snort {start|stop|restart} but when executed at boot the
 error in the messages file is:<o:p></o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">....<br>
snort [2440] Daemon initialized, signaled parent pid: 2439<br>
snort [2440] Reload thread starting...<br>
snort [2440] Reload thread started, thread 0x7fc5c404e700 (2441)<br>
snort [2440] FATAL ERROR: Can't start DAQ (-1) -dag_open /dev/dag0: Permission denied.<o:p></o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">The Snort process gets 99% through startup but fails at the point above.  A successful start from command line shows:<br>
....<br>
snort[2499]: Daemon initialized, signaled parent pid: 2498<br>
snort[2499]: Reload thread starting...<br>
snort[2499]: Reload thread started, thread 0x7f8bf7a0e700 (2500)<br>
snort[2499]: Decoding Ethernet<br>
snort[2499]: Checking PID path...<br>
snort[2499]: Writing PID "2499" to file "/var/run//snort_dag0:0.pid"<br>
snort[2499]: <br>
snort[2499]:         --== Initialization Complete ==--<br>
snort[2499]: Commencing packet processing (pid=2499)<o:p></o:p></p>
</div>
<p class="MsoNormal">I've tried changing permissions and/or ownership of the /dev/dag0 symbolic link plus many other "tests" all to no avail.<o:p></o:p></p>
</div>
<p class="MsoNormal">Any recommendations are appreciated.<o:p></o:p></p>
</div>
<p class="MsoNormal"><br>
------------------------------------------------------------------------------<br>
Comprehensive Server Monitoring with Site24x7.<br>
Monitor 10 servers for $9/Month.<br>
Get alerted through email, SMS, voice calls or mobile push notifications.<br>
Take corrective actions from your mobile device.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=154624111&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=154624111&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<o:p></o:p></p>
</div>
<p class="MsoNormal"><br>
<br clear="all">
<br>
-- <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal">Bill Bernsen                                                    Network Security Analyst<o:p></o:p></p>
<div>
<p class="MsoNormal">ITS Technology Security Services, New York University<br>
<a href="http://www.nyu.edu/its/security" target="_blank">http://www.nyu.edu/its/security</a><o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</body>
</html>