<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Hi.  Neither is better, it just depends on your goals.  Use packet
    captures for testing, debugging, analysis, etc.  Use network
    interfaces to protect your network.  Either way you can use multiple
    processing threads by providing multiple sources (pcaps or
    interfaces).  We will eventually support internal load balancing but
    for now that must be done externally.  And yes, high speed packet
    captures will quickly fill up your disk.  :)<br>
    <br>
    Check the manual (or the DAQ tarball README) for packet acquisition
    options.  The various Snort 2.X documents also have helpful
    information for DAQ configurations.  And check back here if you get
    stuck.<br>
    <br>
    Good luck.<br>
    Russ<br>
    <br>
    <div class="moz-cite-prefix">On 6/16/17 5:52 PM, Nishant Bhat via
      Snort-users wrote:<br>
    </div>
    <blockquote
cite="mid:CABEjnw2oBUchkovtVzq4aSskDKc12NQhEvQyVUxymCp3FrohHQ@mail.gmail.com"
      type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=windows-1252">
      <div dir="ltr">
        <div>(Noob question) I'm setting up Snort 3, and the manual
          shows both how to set up Snort to listen to live traffic on a
          network interface, and how to have Snort inspect a packet
          capture file. I'm wondering which of these configurations is a
          better practice? I see more examples of the pcap-inspection
          setup, so I'm assuming this is what tends to get used. It also
          seems like this is the only way to take advantage of Snort 3's
          multithreading.</div>
        <div><br>
        </div>
        <div>In this case, do people usually set up a separate instance
          of tcpdump to capture packets? If so, how do you avoid having
          the pcap file use all your disk space? Thanks in advance!</div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Snort-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Snort-users@lists.snort.org">Snort-users@lists.snort.org</a>
Go to this URL to change user options or unsubscribe:
<a class="moz-txt-link-freetext" href="https://lists.snort.org/mailman/listinfo/snort-users">https://lists.snort.org/mailman/listinfo/snort-users</a>

Please visit <a class="moz-txt-link-freetext" href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!
</pre>
    </blockquote>
    <br>
  </body>
</html>