Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 8519 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How many instances of snort?

dcline97
Whenever snort restarts the UTM sometimes ends up with only a single instance running and other times two instances.  Any idea how snort is configured with respect to instances?

I know for example you can segregate what each instance is supposed to do (different rulesets, different interfaces, etc.).  I opened a case on this a while back, but never got a definitive answer.

Is it normal to have one instance sometimes and two instances at other times?

Thanks,

Dave


This thread was automatically locked due to age.
  • 0
    If there's only one stream of traffic, only a single instance will start.  William makes interesting observations about how to configure snort to give the fastest response - sometimes, limiting it to a single instance forces the CPU to run faster, giving better throughput than using two instances.  About 20 months ago, BarryG commented, "You can change the number of IPS processes by logging into the console as root and running:

    cc set ips num_instances 1


    to set to one process.  '0' would set it back to automatic," which is up to the number of CPU cores.

    Cheers - Bob
  • 0 in reply to BAlfson
    If there's only one stream of traffic, only a single instance will start.  William makes interesting observations about how to configure snort to give the fastest response - sometimes, limiting it to a single instance forces the CPU to run faster, giving better throughput than using two instances.  About 20 months ago, BarryG commented, "You can change the number of IPS processes by logging into the console as root and running:

    cc set ips num_instances 1


    to set to one process.  '0' would set it back to automatic," which is up to the number of CPU cores.

    Cheers - Bob


    The trick with snort is about how modern cpus are designed vs how snort is designed.  Look snort using my username as a filter i go into extreme detail about this..[[:)]]  ya know maybe i'll find myself and throw it on my business bog for easier findings..[[:)]]
  • 0 in reply to BAlfson
    If there's only one stream of traffic, only a single instance will start.  William makes interesting observations about how to configure snort to give the fastest response - sometimes, limiting it to a single instance forces the CPU to run faster, giving better throughput than using two instances.  About 20 months ago, BarryG commented, "You can change the number of IPS processes by logging into the console as root and running:

    cc set ips num_instances 1


    to set to one process.  '0' would set it back to automatic," which is up to the number of CPU cores.

    Cheers - Bob


    it's not so much tweaking snort as it is tweaking your cpu(by goosing the ghz).  What is your utm configuration hardware wise?
  • 0 in reply to William Warren
    We are running a UTM 220.
  • 0
    stick with one as you only have two cores.  if you like you can run two but the default is snort=cores/2  HT threads do NOT count in manual tweaking land.  THe 220 is getting long in the tooth.  What is your environment like for the 220?
  • 0 in reply to William Warren
    30 users, only 15 are Internet users
    10 meg down/5 up

    running:
    Web Protection (without antivirus)
    IPS/Advanced Threat Protection
    WAF
    Endpoint Protection
    1 Sophos wireless access point for 6 smartphones (separate network)

    Performance is acceptable.  We are looking to add a "backup" appliance and would really like to get a SG210.  Sophos will allow all our licenses to be used on the SG for free.  However, we cannot use the two in a high available configuration due to the licensing differences.  Our thought process is to move to the SG and use the UTM as an out-of-band backup in case we have a hardware failure on the SG.  We can tolerate an hour or two of downtime during the business day.
  • 0
    For 30 users and 10/5?  You don't need a 210.  that's severe overkill.  PM sent.