<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Okay, I think I found the solution to at least part of my problems.  In order to get Snort to run in test mode, and then production modes, I had to take the following steps.<div class="">1. Removed the username and group fields from the command and add the daq manually.  The resulting command looked like this:</div><div class=""><span class="Apple-tab-span" style="white-space:pre">    </span>./snort -T -i eno1 -c /etc/snort/snort.conf —daq pcap</div><div class="">That resulted in a successful test.  </div><div class="">2. Added pcap to the daq portion of the config file.  The resulting portion of the config file now looks like this:</div><div class=""><span class="Apple-tab-span" style="white-space:pre">     </span>#Configure DAQ relad options for inline operation.  For more information , see README.daq</div><div class=""><span class="Apple-tab-span" style="white-space:pre">    </span>config daq: pcap</div><div class="">The resulting test command looked like this:</div><div class=""><span class="Apple-tab-span" style="white-space:pre">    </span>./snort -T -i eno1 -c /etc/snort/snort.conf</div><div class="">That, also, resulted in a successful test.  </div><div class="">3. On a whim, I ran the snort -A command with sudo and that seemed to work.  Adding the -L option ensured logging.  The resulting command looked like:</div><div class=""><span class="Apple-tab-span" style="white-space:pre">  </span>sudo ./snort -A fast -b -d -i eno1 -c /etc/snort/snort.conf -L /var/log/snort</div><div class="">Snort is now running and logging output.</div><div class=""><br class=""></div><div class="">I would like to be able to run Snort without typing sudo.  I added the Snort user to the sudoers file, but that did not help.  There is a permissions problem somewhere.  Any ideas?</div><div class=""><br class=""></div><div class="">Thanks</div><div class=""><br class=""></div><div class="">Redcrosse</div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On May 7, 2015, at 12:25 PM, Joel Esler (jesler) <<a href="mailto:jesler@...589..." class="">jesler@...589...</a>> wrote:</div><br class="Apple-interchange-newline"><div class="">

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
You’ve specified the interface as "eno1”.  Is that the correct interface on Fedora?
<div class=""><br class="">
</div>
<div class=""><span style="font-size: 12px; font-family: 'Lucida Grande';" class="">--</span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class=""><b class="">Joel Esler</b></span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class="">Open Source Manager</span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class="">Threat Intelligence Team Lead</span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class="">Talos Group</span></div>
<div class=""><font face="Lucida Grande" class=""><br class="">
</font></div>
<div class=""><font face="Lucida Grande" class=""><br class="">
</font>
</div></div></div></blockquote></div><br class=""></div></body></html>