<div dir="ltr">Thank you so much Russ. I just didn't see an example and could not make that out.<div><br></div><div>I was also wondering if there is a way to test that the rules do work. Is there a way I can test my setup by creating an abnormal network behaviour and see snort reporting the abnormality?</div><div><br></div><div>Aman</div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Aug 11, 2015 at 8:30 AM Russ <<a href="mailto:rucombs@...589...">rucombs@...589...</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Hi Aman,<br>
    <br>
    You can use the -i flag to get live traffic like this:<br>
    <br>
        snort -i "en0 en1" -z 2 ...<br>
    <br>
    This will open both interfaces on separate packet threads.  To see
    other options you may want:<br>
    <br>
        snort -?<br>
    <br>
    Hope that helps.<br>
    Russ</div><div bgcolor="#FFFFFF" text="#000000"><br>
    <br>
    <div>On 8/11/15 12:22 AM, aman mangal wrote:<br>
    </div>
    </div><div bgcolor="#FFFFFF" text="#000000"><blockquote type="cite">
      
      <div dir="ltr">Hi,
        <div><br>
        </div>
        <div>My name is Aman, I am a first year PhD student at Georgia
          Tech, USA. I want to use <i>snort3 </i>for my research
          purposes and would like to run it in IDS mode with more than
          one thread.</div>
        <div><br>
        </div>
        <div>I am not able to figure out how to run snort in IDS mode
          without <i>-r </i>flag and instead, capturing all the
          packets live. Please help me out.</div>
        <div><br>
        </div>
        <div>Thank you</div>
        <div>Aman Mangal</div>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      </blockquote></div><div bgcolor="#FFFFFF" text="#000000"><blockquote type="cite"><pre>------------------------------------------------------------------------------
</pre>
      <br>
      <fieldset></fieldset>
      <br>
      <pre>_______________________________________________
Snort-users mailing list
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
Snort-users list archive:
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>

Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</pre>
    </blockquote>
    <br>
  </div>

</blockquote></div>