Hello,<div><br></div><div>when using the following command to launch suricata:</div><div><br></div><div><b>exec suricata -D --pidfile /var/run/suricata.pid -c /etc/suricata/suricata.yaml -i bond0 -i vlan411 "not vlan"</b></div>
<div><br></div><div>Suricata starts normally, analyses the rules, loads them etc. But a few moments after this the process stops without any notification in suricata.log.</div><div><br></div><div>When the same command is launched but without the vlan interfaces, everything works fine. Is there a multi-interfaces problem or a vlan untagging problem, I don't know.</div>
<div><br></div><div>The reason why the vlan's are used is because of mirroring limitations in a particular switch: all incoming traffic on the mirror port is in the default vlan, all outgoing in vlan 411.</div><div><br>
</div><div>gdb output for <b>suricata -c /etc/suricata/suricata.yaml -i bond0 -i vlan411 "not vlan"</b>:</div><div><br></div><div><div>21/5/2012 -- 15:54:48 - <Info> - 15 rule files processed. 41435 rules succesfully loaded, 0 rules failed</div>
<div>21/5/2012 -- 15:56:45 - <Info> - 42631 signatures processed. 1809 are IP-only rules, 37788 are inspecting packet payload, 13120 inspect application layer, 0 are decoder event only</div><div>21/5/2012 -- 15:56:45 - <Info> - building signature grouping structure, stage 1: adding signatures to signature source addresses... complete</div>
<div>21/5/2012 -- 15:56:50 - <Info> - building signature grouping structure, stage 2: building source address list... complete</div><div>21/5/2012 -- 15:56:55 - <Info> - building signature grouping structure, stage 3: building destination address lists... complete</div>
<div>21/5/2012 -- 15:57:10 - <Info> - Threshold config parsed: 5 rule(s) found</div><div>21/5/2012 -- 15:57:10 - <Info> - Core dump size set to unlimited.</div><div>21/5/2012 -- 15:57:10 - <Info> - fast output device (regular) initialized: fast.log</div>
<div>21/5/2012 -- 15:57:10 - <Info> - Unified2-alert initialized: filename unified2.alert, limit 32 MB</div><div>21/5/2012 -- 15:57:10 - <Info> - http-log output device (regular) initialized: http.log</div><div>
21/5/2012 -- 15:57:10 - <Info> - Using 2 live device(s).</div><div>21/5/2012 -- 15:57:10 - <Info> - BPF filter set from command line or via old 'bpf-filter' option.</div><div>[New Thread 0x7ffff636c700 (LWP 9636)]</div>
<div>21/5/2012 -- 15:57:10 - <Info> - BPF filter set from command line or via old 'bpf-filter' option.</div><div>21/5/2012 -- 15:57:10 - <Info> - using interface bond0</div><div>21/5/2012 -- 15:57:10 - <Info> - Running in 'auto' checksum mode. Detection of interface state will require 1000 packets.</div>
<div>[New Thread 0x7ffff5b6b700 (LWP 9637)]</div><div>21/5/2012 -- 15:57:10 - <Info> - using interface vlan411</div><div>21/5/2012 -- 15:57:10 - <Info> - Running in 'auto' checksum mode. Detection of interface state will require 1000 packets.</div>
<div>[New Thread 0x7ffff536a700 (LWP 9638)]</div><div>[New Thread 0x7ffff4b69700 (LWP 9640)]</div><div><br></div><div>Program received signal SIGSEGV, Segmentation fault.</div><div>[Switching to Thread 0x7ffff4b69700 (LWP 9640)]</div>
<div>0x00007ffff69c06da in ?? () from /lib/x86_64-linux-gnu/libc.so.6</div><div>(gdb) btµ</div><div>Invalid character '�' in expression.</div><div>(gdb) bt</div><div>#0  0x00007ffff69c06da in ?? () from /lib/x86_64-linux-gnu/libc.so.6</div>
<div>#1  0x00007ffff69c1f72 in ?? () from /lib/x86_64-linux-gnu/libc.so.6</div><div>#2  0x00007ffff69c4e1e in malloc () from /lib/x86_64-linux-gnu/libc.so.6</div><div>#3  0x00000000004fd054 in PmqSetup ()</div><div>#4  0x00000000004402e8 in DetectEngineThreadCtxInit ()</div>
<div>#5  0x0000000000435b17 in DetectThreadInit ()</div><div>#6  0x000000000056d1ed in TmThreadsSlot1 ()</div><div>#7  0x00007ffff713fd8c in start_thread () from /lib/x86_64-linux-gnu/libpthread.so.0</div><div>#8  0x00007ffff6a2ec2d in clone () from /lib/x86_64-linux-gnu/libc.so.6</div>
<div>#9  0x0000000000000000 in ?? ()</div></div><div><br></div><div>Any idea where the problem might reside? </div><div><br></div><div>Gtz</div><div><br></div><div>Geert</div><div><br></div>