<div>Thanks for the advice - ran dmesg and got the following: <br></div><div><br></div><p><span>[<span>  </span>244.876165] </span><span>Out of memory</span><span>: Kill process 1198 (suricata-update) score 429 or sacrifice child</span><br></p><p><span>[<span>  </span>244.876180] </span><span>Killed process 1198 (suricata-update) total-vm:474040kB, anon-rss:463640kB, file-rss:808kB, shmem-rss:0kB</span><br></p><div><br></div><div><span>When running "top" command I see that suricata is running twice with PID 1126 and 1011, something I had observed previously - any advice on preventing the process from running twice?</span><br></div><div><br></div><div class="protonmail_signature_block"><div class="protonmail_signature_block-user">Sent from <a href="https://protonmail.ch">ProtonMail</a>, encrypted email based in Switzerland.<br></div><div><br></div><div class="protonmail_signature_block-proton">Sent with <a target="_blank" href="https://protonmail.com">ProtonMail</a> Secure Email.<br></div></div><div><br></div><div>‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐<br></div><div> On Sunday, January 20, 2019 4:40 AM, bjorn@ruberg.no <bjorn@ruberg.no> wrote:<br></div><div> <br></div><blockquote type="cite" class="protonmail_quote"><div><br></div><div>Last time I tried something like this on an RPi, suricata-update required quite a bit of memory causing the oom-killer to sacrifice the main Suricata process.<br></div><div><br></div><div>Check your logs and/or dmesg. <br></div><div><br></div><div><br></div><div style="line-height:1.5"><div><br></div><div><br></div><div>-------- Original Message --------<br></div><div>Subject: [Oisf-users] Configuring Suricata Auto Update with Briar IDS<br></div><div>From: 419telegraph298@protonmail.com<br></div><div>To: oisf-users@lists.openinfosecfoundation.org<br></div><div>CC: <br></div><div><br></div><blockquote style="margin:0 0 0 0.8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Hey everyone, <br></div><div><br></div><div>I recently installed Suricata on a Raspberry Pi 3 using the Briar IDS - <a href="https://github.com/musicmancorley/BriarIDS">https://github.com/musicmancorley/BriarIDS</a><br></div><div><br></div><div>I then attempted to install Suricata-Update, however, and am running into issues, I suspect because Briar installed <b>suricata-4.0.4</b> in /usr/local/src but auto-update is in <b>/var/lib/suricata</b>. Suricata stops running every day instead of updating, and I have to relaunch the program manually. It does not have any issues collecting traffic when I relaunch. <br></div><div><br></div><div>It fails to locate the binary for Suricata and gives me the error "No distribution rule directory found" but has been able to update my rulesets in <b>/usr/local/src/suricata-4.0.4/rules. </b>Do I need to move my config file?   <br></div><div><br></div><div>When I run verbose mode, I get the following output:<br></div><p>sudo suricata-update -v<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- This is suricata-update version 1.0.3 (rev: 8a782d4); Python: 2.7.13 (default, Sep 26 2018, 18:42:22) - [GCC 6.3.0 20170516]<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value force -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value verbose -> True<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value enable -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value no-merge -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value version -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value dump-sample-configs -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value no-test -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value subcommand -> update<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value modify -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value no-reload -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value no-ignore -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value disable -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value etopen -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value now -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value url -> []<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value drop -> False<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting configuration value ignore -> []<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /usr/local/sbin<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /usr/local/bin<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /usr/sbin<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /usr/bin<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /sbin<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Looking for suricata in /bin<br></p><p>19/1/2019 -- 21:27:28 - <Warning> -- No suricata application binary found on path.<br></p><p>19/1/2019 -- 21:27:28 - <Info> -- Using default Suricata version of 4.0.0<br></p><p>19/1/2019 -- 21:27:28 - <Info> -- No sources configured, will use Emerging Threats Open<br></p><p>19/1/2019 -- 21:27:28 - <Info> -- Checking <a href="https://rules.emergingthreats.net/open/suricata-4.0.0/emerging.rules.tar.gz.md5">https://rules.emergingthreats.net/open/suricata-4.0.0/emerging.rules.tar.gz.md5</a>.<br></p><p>19/1/2019 -- 21:27:28 - <Debug> -- Setting HTTP User-Agent to Suricata-Update/1.0.3 (OS: Linux; CPU: armv7l; Python: 2.7.13; Dist: debian/9.6; Suricata: 4.0.0)<br></p><p>19/1/2019 -- 21:27:29 - <Debug> -- Local checksum=|x|; remote checksum=|x|<br></p><p>19/1/2019 -- 21:27:29 - <Info> -- Remote checksum has not changed. Not fetching.<br></p><p>19/1/2019 -- 21:27:29 - <Warning> -- No distribution rule directory found.<br></p><p>19/1/2019 -- 21:27:29 - <Debug> -- Parsing rules/emerging-mobile_malware.rules.<br></p><p>19/1/2019 -- 21:27:29 - <Debug> -- Parsing rules/emerging-icmp.rules.<br></p><p>19/1/2019 -- 21:27:29 - <Debug> -- Parsing rules/tor.rules.<br></p><p>19/1/2019 -- 21:27:30 - <Debug> -- Parsing rules/emerging-activex.rules.<br></p><p>19/1/2019 -- 21:27:30 - <Debug> -- Parsing rules/emerging-icmp_info.rules.<br></p><p>19/1/2019 -- 21:27:30 - <Debug> -- Parsing rules/emerging-policy.rules.<br></p><p>19/1/2019 -- 21:27:31 - <Debug> -- Parsing rules/emerging-pop3.rules.<br></p><p>19/1/2019 -- 21:27:31 - <Debug> -- Parsing rules/emerging-shellcode.rules.<br></p><p>19/1/2019 -- 21:27:31 - <Debug> -- Parsing rules/emerging-attack_response.rules.<br></p><p>19/1/2019 -- 21:27:31 - <Debug> -- Parsing rules/emerging-trojan.rules.<br></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-dns.rules.<br></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-telnet.rules.<br></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-scada.rules.<br></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-misc.rules.<br></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/dshield.rules.<br></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-sql.rules.<br></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-inappropriate.rules.<br></p><p>19/1/2019 -- 21:27:36 - <Debug> -- Parsing rules/emerging-web_server.rules.<br></p><p>19/1/2019 -- 21:27:37 - <Debug> -- Parsing rules/emerging-web_specific_apps.rules.<br></p><p>19/1/2019 -- 21:27:42 - <Debug> -- Parsing rules/emerging-user_agents.rules.<br></p><div><br></div><div>Thank you so much in advance for any advice on this. I have read through previous forum postings and have gathered that Suricata's Auto-Update can kill traffic collection if improperly configured. <br></div><div><br></div><div><br></div><div>Sincerely,<br></div><div>Paul<br></div><div><br></div><div><div>Sent from <a href="https://protonmail.ch">ProtonMail</a>, encrypted email based in Switzerland.<br></div><div><br></div><div>Sent with <a href="https://protonmail.com">ProtonMail</a> Secure Email.<br></div></div><div><br></div></blockquote></blockquote></div></blockquote><div><br></div>