<div dir="ltr"><div><div><div>Thanks Bill,<br><br></div><div>I've been successful testing Snort with DAG in an 8-stream HLB configuration with 8-Snort processes running.  The application<br></div><div>and interface perform very well. I have been able to send test traffic and verify statistics.<br></div><div><br></div>I am using the init.d script (Centos 6.x) downloaded from Snort.org, following all configuration steps provided. The script is<br>slightly modified to include the DAG load prior to Snort startup using dag0:0 interface.  Without loading the DAG prior to Snort<br></div><div>the FATAL ERROR message is: FATAL ERROR: Can't start DAQ (-1) -dag_open /dev/dag0: File not found!<br><br></div><div>When Snort is running wit DAG the dag0 file is a symbolic link to /dev/dagmem.  I have tried changing ownership of this file also<br></div><div>but as you can see the permissions are open to all users and groups:<br><br></div><div><b>lrwxrwxrwx. 1 root root 12 Nov 13 14:57 dag0 -> /dev/dagmem</b><br></div><div><br>The line to invoke Snort is compiled from the variables retrieved from /etc/sysconfig/snort but the end result is:<br>


        
        
        
        


<p style="margin-bottom:0in;line-height:100%"><b>/usr/sbin/snort
-A fast -U -b -d -e -D -i dag0:0 -u snort -g snort -c
/etc/snort/snort.conf -l /var/log/snort.</b></p><p style="margin-bottom:0in;line-height:100%">I have also tried changing user and group to root or simply not specifying a user or group.  I have also tried changing ownership</p>of the script from snort:snort to root:root.<br><br>I am only testing one stream and one snort process in the init.d script until it works, then I can add the more complex<br></div>dag HLB configuration and additional snort processes.<br><br></div>Thank you<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 13, 2014 at 4:17 PM, Bill Bernsen <span dir="ltr"><<a href="mailto:bill.bernsen@...6823..." target="_blank">bill.bernsen@...6823...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>A couple things to try:<br><br></div>1)  Have you confirmed your dag is configured, up, and running how you'd expect?  Check dagconfig to make sure it is receiving (and dropping) packets on all the interfaces you'd expect.  Then, attach tcpdump to one of the streams and confirm that it is working.<br><br></div>2)  Confirm your initscript is trying to attach to separate dag stream as network interfaces.  The debug information you provided here is sparse but it claims it doesn't have permission to attach to /dev/dag0.  I'm not sure if this is an artifact of what DAQ is doing behind the scenes but that isn't where I'd expect the data acquisition stack to connect.  It should be attaching to a network interface such as dag0:0.  What is the invocation line for snort in your script?<br></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Thu, Nov 13, 2014 at 1:41 PM, test engineer <span dir="ltr"><<a href="mailto:test12524@...11827..." target="_blank">test12524@...843.....11827...</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Posting this again under specific subject of Emulex DAG<br><br><div><div><div><div>Still unsuccessful in getting the SNORT init.d 
script to work using an Emulex DAG card.  I have modified the scrip and 
it works just fine when executed via command line (/etc/init.d/snort 
{start|stop|restart} but when executed at boot the error in the messages
 file is:<br></div>....<br>snort [2440] Daemon initialized, signaled parent pid: 2439<br>snort [2440] Reload thread starting...<br>snort [2440] Reload thread started, thread 0x7fc5c404e700 (2441)<br>snort [2440] FATAL ERROR: Can't start DAQ (-1) -dag_open /dev/dag0: Permission denied.<br><br></div>The Snort process gets 99% through startup but fails at the point above.  A successful start from command line shows:<br>....<br>snort[2499]: Daemon initialized, signaled parent pid: 2498<br>snort[2499]: Reload thread starting...<br>snort[2499]: Reload thread started, thread 0x7f8bf7a0e700 (2500)<br>snort[2499]: Decoding Ethernet<br>snort[2499]: Checking PID path...<br>snort[2499]: Writing PID "2499" to file "/var/run//snort_dag0:0.pid"<br>snort[2499]: <br>snort[2499]:         --== Initialization Complete ==--<br>snort[2499]: Commencing packet processing (pid=2499)<br><br></div>I've tried changing permissions and/or ownership of the /dev/dag0 symbolic link plus many other "tests" all to no avail.<br></div>Any recommendations are appreciated.<br></div>
<br></div></div>------------------------------------------------------------------------------<br>
Comprehensive Server Monitoring with Site24x7.<br>
Monitor 10 servers for $9/Month.<br>
Get alerted through email, SMS, voice calls or mobile push notifications.<br>
Take corrective actions from your mobile device.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=154624111&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=154624111&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<span class="HOEnZb"><font color="#888888"><br></font></span></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><br>-- <br><div><div dir="ltr">Bill Bernsen                                                    Network Security Analyst<br><div>
ITS Technology Security Services, New York University<br>
<a href="http://www.nyu.edu/its/security" target="_blank">http://www.nyu.edu/its/security</a><br>
</div></div></div>
</font></span></div>
</blockquote></div><br></div>