<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <br>
    <br>
    <div class="moz-cite-prefix">On 8/16/15 8:26 PM, aman mangal wrote:<br>
    </div>
    <blockquote
cite="mid:CAL6Z3hyOBORFzNDwfmndrtAqZuKMLEOuPzd7y-WXhQj7+iN2wA@...11828..."
      type="cite">
      <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
      <div dir="ltr">Thank you so much Russ. I just didn't see an
        example and could not make that out.</div>
    </blockquote>
    Sure; we will add that example to the usage section.<br>
    <blockquote
cite="mid:CAL6Z3hyOBORFzNDwfmndrtAqZuKMLEOuPzd7y-WXhQj7+iN2wA@...11828..."
      type="cite">
      <div dir="ltr">
        <div><br>
        </div>
        <div>I was also wondering if there is a way to test that the
          rules do work. Is there a way I can test my setup by creating
          an abnormal network behaviour and see snort reporting the
          abnormality?</div>
      </div>
    </blockquote>
    This is a very broad question so I'll give a broad answer.  You can
    follow up with specifics if needed and I'm sure someone on the list
    can help you out.<br>
    <br>
    If you want to test rules, it is easier to do with a pcap.  You can
    use the dump DAQ to run inline if needed.<br>
    <br>
    If you want to test your inline network setup between endpoints
    through Snort, you could replay the same pcaps from above.<br>
    <br>
    You could also start with simple test rules that alert on the
    presence of traffic.  For example, you can alert on icmp and then
    run a ping through your sensor.  Or alert on tcp and run an http
    query through your sensor.<br>
    <blockquote
cite="mid:CAL6Z3hyOBORFzNDwfmndrtAqZuKMLEOuPzd7y-WXhQj7+iN2wA@...11828..."
      type="cite">
      <div dir="ltr">
        <div><br>
        </div>
        <div>Aman</div>
      </div>
      <br>
      <div class="gmail_quote">
        <div dir="ltr">On Tue, Aug 11, 2015 at 8:30 AM Russ <<a
            moz-do-not-send="true" href="mailto:rucombs@...589..."><a class="moz-txt-link-abbreviated" href="mailto:rucombs@...589...">rucombs@...589...</a></a>>
          wrote:<br>
        </div>
        <blockquote class="gmail_quote" style="margin:0 0 0
          .8ex;border-left:1px #ccc solid;padding-left:1ex">
          <div bgcolor="#FFFFFF" text="#000000"> Hi Aman,<br>
            <br>
            You can use the -i flag to get live traffic like this:<br>
            <br>
                snort -i "en0 en1" -z 2 ...<br>
            <br>
            This will open both interfaces on separate packet threads. 
            To see other options you may want:<br>
            <br>
                snort -?<br>
            <br>
            Hope that helps.<br>
            Russ</div>
          <div bgcolor="#FFFFFF" text="#000000"><br>
            <br>
            <div>On 8/11/15 12:22 AM, aman mangal wrote:<br>
            </div>
          </div>
          <div bgcolor="#FFFFFF" text="#000000">
            <blockquote type="cite">
              <div dir="ltr">Hi,
                <div><br>
                </div>
                <div>My name is Aman, I am a first year PhD student at
                  Georgia Tech, USA. I want to use <i>snort3 </i>for
                  my research purposes and would like to run it in IDS
                  mode with more than one thread.</div>
                <div><br>
                </div>
                <div>I am not able to figure out how to run snort in IDS
                  mode without <i>-r </i>flag and instead, capturing
                  all the packets live. Please help me out.</div>
                <div><br>
                </div>
                <div>Thank you</div>
                <div>Aman Mangal</div>
              </div>
              <br>
              <fieldset></fieldset>
              <br>
            </blockquote>
          </div>
          <div bgcolor="#FFFFFF" text="#000000">
            <blockquote type="cite">
              <pre>------------------------------------------------------------------------------
</pre>
              <br>
              <fieldset></fieldset>
              <br>
              <pre>_______________________________________________
Snort-users mailing list
<a moz-do-not-send="true" href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a moz-do-not-send="true" href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
Snort-users list archive:
<a moz-do-not-send="true" href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>

Please visit <a moz-do-not-send="true" href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</pre>
            </blockquote>
            <br>
          </div>
        </blockquote>
      </div>
    </blockquote>
    <br>
  </body>
</html>