<br>Last time I tried something like this on an RPi, suricata-update required quite a bit of memory causing the oom-killer to sacrifice the main Suricata process.<div><br></div><div>Check your logs and/or dmesg. </div><div><br></div><div><br></div><div style="line-height:1.5"><br><br>-------- Original Message --------<br>Subject: [Oisf-users] Configuring Suricata Auto Update with Briar IDS<br>From: 419telegraph298@protonmail.com<br>To: oisf-users@lists.openinfosecfoundation.org<br>CC: <br><br><blockquote style="margin:0 0 0 0.8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Hey everyone, <br /></div><div><br /></div><div>I recently installed Suricata on a Raspberry Pi 3 using the Briar IDS - <a href="https://github.com/musicmancorley/BriarIDS">https://github.com/musicmancorley/BriarIDS</a><br /></div><div><br /></div><div>I then attempted to install Suricata-Update, however, and am running into issues, I suspect because Briar installed <b>suricata-4.0.4</b> in /usr/local/src but auto-update is in <b>/var/lib/suricata</b>. Suricata stops running every day instead of updating, and I have to relaunch the program manually. It does not have any issues collecting traffic when I relaunch. </div><div><br /></div><div>It fails to locate the binary for Suricata and gives me the error "No distribution rule directory found" but has been able to update my rulesets in <b>/usr/local/src/suricata-4.0.4/rules. </b>Do I need to move my config file?   </div><div><br /></div><div>When I run verbose mode, I get the following output:<br /></div><p>sudo suricata-update -v<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- This is suricata-update version 1.0.3 (rev: 8a782d4); Python: 2.7.13 (default, Sep 26 2018, 18:42:22) - [GCC 6.3.0 20170516]<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value force -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value verbose -> True<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value enable -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value no-merge -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value version -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value dump-sample-configs -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value no-test -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value subcommand -> update<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value modify -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value no-reload -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value no-ignore -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value disable -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value etopen -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value now -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value url -> []<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value drop -> False<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value ignore -> []<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /usr/local/sbin<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /usr/local/bin<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /usr/sbin<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /usr/bin<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /sbin<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /bin<br /></p><p>19/1/2019 -- 21:27:28 - <Warning> -- No suricata application binary found on path.<br /></p><p>19/1/2019 -- 21:27:28 - <Info> -- Using default Suricata version of 4.0.0<br /></p><p>19/1/2019 -- 21:27:28 - <Info> -- No sources configured, will use Emerging Threats Open<br /></p><p>19/1/2019 -- 21:27:28 - <Info> -- Checking <a href="https://rules.emergingthreats.net/open/suricata-4.0.0/emerging.rules.tar.gz.md5">https://rules.emergingthreats.net/open/suricata-4.0.0/emerging.rules.tar.gz.md5</a>.<br /></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting HTTP User-Agent to Suricata-Update/1.0.3 (OS: Linux; CPU: armv7l; Python: 2.7.13; Dist: debian/9.6; Suricata: 4.0.0)<br /></p><p>19/1/2019 -- 21:27:29 - <Debug> -- Local checksum=|x|; remote checksum=|x|<br /></p><p>19/1/2019 -- 21:27:29 - <Info> -- Remote checksum has not changed. Not fetching.<br /></p><p>19/1/2019 -- 21:27:29 - <Warning> -- No distribution rule directory found.<br /></p><p>19/1/2019 -- 21:27:29 - <Debug> -- Parsing rules/emerging-mobile_malware.rules.<br /></p><p>19/1/2019 -- 21:27:29 - <Debug> -- Parsing rules/emerging-icmp.rules.<br /></p><p>19/1/2019 -- 21:27:29 - <Debug> -- Parsing rules/tor.rules.<br /></p><p>19/1/2019 -- 21:27:30 - <Debug> -- Parsing rules/emerging-activex.rules.<br /></p><p>19/1/2019 -- 21:27:30 - <Debug> -- Parsing rules/emerging-icmp_info.rules.<br /></p><p>19/1/2019 -- 21:27:30 - <Debug> -- Parsing rules/emerging-policy.rules.<br /></p><p>19/1/2019 -- 21:27:31 - <Debug> -- Parsing rules/emerging-pop3.rules.<br /></p><p>19/1/2019 -- 21:27:31 - <Debug> -- Parsing rules/emerging-shellcode.rules.<br /></p><p>19/1/2019 -- 21:27:31 - <Debug> -- Parsing rules/emerging-attack_response.rules.<br /></p><p>19/1/2019 -- 21:27:31 - <Debug> -- Parsing rules/emerging-trojan.rules.<br /></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-dns.rules.<br /></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-telnet.rules.<br /></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-scada.rules.<br /></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-misc.rules.<br /></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/dshield.rules.<br /></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-sql.rules.<br /></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-inappropriate.rules.<br /></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-web_server.rules.<br /></p><p>19/1/2019 -- 21:27:37 - <Debug> -- Parsing rules/emerging-web_specific_apps.rules.<br /></p><p>19/1/2019 -- 21:27:42 - <Debug> -- Parsing rules/emerging-user_agents.rules.<br /></p><div><br /></div><div>Thank you so much in advance for any advice on this. I have read through previous forum postings and have gathered that Suricata's Auto-Update can kill traffic collection if improperly configured. <br /></div><div><br /></div><div><br /></div><div>Sincerely,<br /></div><div>Paul</div><div><br /></div><div><div>Sent from <a href="https://protonmail.ch">ProtonMail</a>, encrypted email based in Switzerland.<br /></div><div><br /></div><div>Sent with <a href="https://protonmail.com">ProtonMail</a> Secure Email.<br /></div></div><div><br /></div></blockquote></div>