Snort startet nicht



  • Hallo Gemeinde,

    nach mehreren Stunden suche hier im Forum sowie auf der englischen Seite bin ich einfach nicht weiter gekommen und hoffe, daß mir hier jemand weiter helfen kann:

    php-fpm[22862]: /snort/snort_interfaces.php: The command '/usr/pbi/snort-amd64/bin/snort -R 27837 -D -q –suppress-config-log -l /var/log/snort/snort_igb027837 --pid-path /var/run --nolock-pidfile -G 27837 -c /usr/pbi/snort-amd64/etc/snort/snort_27837_igb0/snort.conf -i igb0' returned exit code '1', the output was ''

    snort[83843]: FATAL ERROR: /usr/pbi/snort-amd64/etc/snort/snort_27837_igb0/rules/custom.rules(2) Each rule must contain a rule sid.

    Bin für jede Hilfestellung dankbar….


  • Moderator

    Hallo Cherubino,

    und was ging dem Problem voraus? Ich denke es wird wohl kaum vom Himmel gefallen sein? ;) Die Fehlermeldung sagt ja aus, dass es eben in den Custom Rules falsche Einträge gibt. Die müssen ja nun von irgendwo herkommen. Hat es also vorher schonmal funktioniert? Irgendwas importiert worden?

    So ohne alles bringt eine Fehlermeldung uns da genauso wenig weiter wie dich :) Ein bisschen was drumherum solltest du schon erzählen können.

    Grüße



  • Yeapp, bin neuling was Snort angeht und wahrscheinlich habe ich hier sehr interessante Fehler gemacht, anbei füge ich mal meine Rules Tabelle welche bei mir unter updates stehen:

    Snort VRT Rules 905c8097d6f5c22e68f84b0e714c8246 Wednesday, 12-Aug-15 23:57:45 CEST
    Snort GPLv2 Community Rules 8650459733dabc0629bb018b420399c2 Wednesday, 12-Aug-15 23:57:45 CEST
    Emerging Threats Open Rules 9283c6307530b46f1983a0a17a9124f6 Thursday, 13-Aug-15 09:54:12 CEST
    Snort OpenAppID Detectors 81fa762b863195b8416390887ca626c5 Wednesday, 12-Aug-15 23:57:45 CEST

    Des weiteren habe ich bereits früher mal snort genutzt jedoch nach einem update ging es nicht mehr und habe es daraufhin gelöscht und nun halt wieder installiert aber leider klappte dies nun auch nicht :(



  • Okay, nach vielen weiteren Stunden mit Snort sowie im Forum habe ich nun folgendes gemacht:
    Snort deinstalliert ( wichtig dabei - haken unbedingt rausnehmen um auch alle Einstellungen bei der Deinstallation komplett zu löschen )
    Danach Snort sauber neu installiert und es funktionierte wieder. Ich vermute, daß hier wohl noch irgendeine falsche Einstellung aus einer älteren Snortversion beibehalten wurde. Ich schreibe dies, damit es evtl. auch anderen Usern im Forum hilft.