<div dir="ltr">Ah yes that works a treat. Just I was looking at Snort documentation regarding it and starting up multiple processes. Thanks :)<br><br>Kevin<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On 9 August 2013 15:06, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Fri, Aug 9, 2013 at 2:31 PM, Kevin Ross <<a href="mailto:kevross33@googlemail.com">kevross33@googlemail.com</a>> wrote:<br>
> Hi,<br>
><br>
> I was wondering what is the prefered way of doing barnyard2 with suricata in<br>
> pfring? I ask because now I am running more processes now I have better<br>
> hardware so when I ran say 8 processes each one seems to create its on<br>
> unified2.alert file but I start only 1 barnyard process and I noticed things<br>
> in the fast.log file that was not being picked up by barnyard.<br>
><br>
> So do I have to start up multiple barnyard processes too for each unified2<br>
> alert file and then do something like have multiple suricata.yaml files with<br>
> each one pointed to say alert2.unified2, alert2.unified3 and then have<br>
> barnyard and suricata started like this?<br>
><br>
> # Start Multiple Suricata Processes With PFRING<br>
> for COUNTER in 0 1 2 3 4 5 6 7; do<br>
> suricata  --pidfile /var/run/suricata$COUNTER.pid --pfring-int=eth1<br>
> --pfring-cluster-id=99 --pfring-cluster-type=cluster_flow -c<br>
> /etc/suricata/suricata.yaml --user suri --group suri -D<br>
> /usr/local/bin/barnyard2 -c /etc/suricata/barnyard2.conf -d<br>
> /var/log/suricata -f unified2.alert$COUNTER -w /var/log/suricata/bylog.waldo<br>
> -D<br>
> done<br>
<br>
</div></div>What is the purpose of this script above?<br>
<br>
Suricata is a multi-threading application and there is no need to<br>
start 8 processes of it. All you need to do is in the pfring section<br>
of the suricata.yaml to adjust the threads value:<br>
<br>
pfring:<br>
  - interface: eth1<br>
    # Number of receive threads (>1 will enable experimental flow pinned<br>
    # runmode)<br>
    threads: 8<br>
<br>
then you will have everything written in the "one" respective logfile<br>
(not multiples of them ).<br>
<br>
Then you just start  (once) Suricata :<br>
<div class="im">suricata  --pidfile /var/run/suricata$COUNTER.pid --pfring-int=eth1<br>
--pfring-cluster-id=99 --pfring-cluster-type=cluster_<br>
flow -c /etc/suricata/suricata.yaml --user suri --group suri -D<br>
<br>
</div>run htop/top and you will see the 8 Suricata threads.<br>
<br>
<br>
><br>
> Thanks,<br>
> Kevin<br>
><br>
><br>
><br>
><br>
> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>