Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 8520 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How many instances of snort?

dcline97
Whenever snort restarts the UTM sometimes ends up with only a single instance running and other times two instances.  Any idea how snort is configured with respect to instances?

I know for example you can segregate what each instance is supposed to do (different rulesets, different interfaces, etc.).  I opened a case on this a while back, but never got a definitive answer.

Is it normal to have one instance sometimes and two instances at other times?

Thanks,

Dave


This thread was automatically locked due to age.
Parents
  • 0
    If there's only one stream of traffic, only a single instance will start.  William makes interesting observations about how to configure snort to give the fastest response - sometimes, limiting it to a single instance forces the CPU to run faster, giving better throughput than using two instances.  About 20 months ago, BarryG commented, "You can change the number of IPS processes by logging into the console as root and running:

    cc set ips num_instances 1


    to set to one process.  '0' would set it back to automatic," which is up to the number of CPU cores.

    Cheers - Bob
Reply
  • 0
    If there's only one stream of traffic, only a single instance will start.  William makes interesting observations about how to configure snort to give the fastest response - sometimes, limiting it to a single instance forces the CPU to run faster, giving better throughput than using two instances.  About 20 months ago, BarryG commented, "You can change the number of IPS processes by logging into the console as root and running:

    cc set ips num_instances 1


    to set to one process.  '0' would set it back to automatic," which is up to the number of CPU cores.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    If there's only one stream of traffic, only a single instance will start.  William makes interesting observations about how to configure snort to give the fastest response - sometimes, limiting it to a single instance forces the CPU to run faster, giving better throughput than using two instances.  About 20 months ago, BarryG commented, "You can change the number of IPS processes by logging into the console as root and running:

    cc set ips num_instances 1


    to set to one process.  '0' would set it back to automatic," which is up to the number of CPU cores.

    Cheers - Bob


    The trick with snort is about how modern cpus are designed vs how snort is designed.  Look snort using my username as a filter i go into extreme detail about this..[[:)]]  ya know maybe i'll find myself and throw it on my business bog for easier findings..[[:)]]
  • 0 in reply to BAlfson
    If there's only one stream of traffic, only a single instance will start.  William makes interesting observations about how to configure snort to give the fastest response - sometimes, limiting it to a single instance forces the CPU to run faster, giving better throughput than using two instances.  About 20 months ago, BarryG commented, "You can change the number of IPS processes by logging into the console as root and running:

    cc set ips num_instances 1


    to set to one process.  '0' would set it back to automatic," which is up to the number of CPU cores.

    Cheers - Bob


    it's not so much tweaking snort as it is tweaking your cpu(by goosing the ghz).  What is your utm configuration hardware wise?
  • 0 in reply to William Warren
    We are running a UTM 220.