OPNsense Forum
International Forums => German - Deutsch => Topic started by: mar_becker on July 17, 2018, 08:55:43 am
-
Hallo zusammen,
nach dem Update auf 18.1.12 stoppt Suricata nach ein paar Minuten Laufzeit. Nach einem Neustart des Service läuft Suricata ein paar Minuten, um dann erneut wieder die Arbeit einzustellen. Das Log gibt leider auch keinen Aufschluss. Gibt es hier einen Lösungsansatz?
Besten Dank im Voraus.
Gruß
Mario
-
Was war die Version davor? 18.1.11?
-
Ja..und da lief Suricata einwandfrei.
-
Da sehe ich momentan nur:
o intrusion detection: add missing classification category
Ich hab den commit nicht im Kopf .. ich such mal ..
-
Oh .. der war von mir :o
https://github.com/opnsense/core/commit/79816e2e2d7cb2d61a898ca0901f57d9f4cebaa7
Probier mal alle rules (unten bei App-detect) zu laden ohne sie zu enablen.
-
Habe ich mal versucht. War leider nix... :-[
Suricata geht nach einigen Minuten wieder auf Rot.
-
Was sagt denn das Log?
-
Leider nicht sehr aussagekräftig... Das Log gibt nicht viel her.
Ich warte bis zum nächsten Update. Vielleicht wird es dann wieder glatt gebügelt.
-
Naja, also ich hab den Fehler nicht .. wenn ich keine Hilfe bekomme von den Leuten die das Problem haben wird im nächsten Update wohl auch kein Fix dafür drin sein :'(
-
Hallo, erstmal besten Dank für deine Hilfe. Ich würde dir ja gerne mehr Futter geben, aber das Log gibt leider nur die Release- Version des Suricata als Eintrag her.Mehr nicht... Gibt es noch ein woanders Log-Files zum einsehen?
-
Über die Console:
clog /var/log/system.log
und
clog /var/log/system.log | grep suri
Dann noch
clog /var/log/suricata.log
Du kannst auch mit "ps aufx" schauen wie der Prozess gestartet wird, dann führst du den Befehl mal in der CLI aus und bitte ohne Parameter -D
Dann müsstest du schnell sehen was passiert.
-
Besten Dank. Werde ich ausprobieren. Allerdings erst in ein paar Tagen, da ich beruflich ausserhalb bin. Ich werde mich dann noch einmal melden.
-
Ich habe wohl das gleiche Problem.
Habe alle Reglen deaktviert, Suricata neu installiert, nichts hat geholfen.
Das einzige was irgendwann geholfen hat war den Pattern matcher von Hyperscan auf Aho-Corasick umzustellen. Muss da aber einen Performance-verlust hinnehmen.
Die Meldungen, die ich hatte waren diese (im allgemeinen Systemlog):
Jul 18 17:34:29 kernel: pid 52626 (suricata), uid 0: exited on signal 6 (core dumped)
Jul 18 17:29:46 kernel: -> pid: 52293 ppid: 49789 p_pax: 0x850<SEGVGUARD,ASLR,NODISALLOWMAP32BIT>
Jul 18 17:29:46 kernel: [HBSD SEGVGUARD] [/usr/local/bin/suricata (52293)] Suspension expired.
Die Intrusion Detection Log gab bei mir auch nichts her.
-
Bitte das Suricata Update von heute testen: https://forum.opnsense.org/index.php?topic=9164.msg41259#msg41259
Grüsse
Franco
-
Bitte das Suricata Update von heute testen: https://forum.opnsense.org/index.php?topic=9164.msg41259#msg41259
Grüsse
Franco
Funktioniert jetzt auch wieder im Hyperscan-Modus - Danke.
Das Ding beschwert sich jetzt plötzlich haufenweise über:
ERRCODE: SC_ERR_INVALID_SIGNATURE(39)
Was in 4.0.4 nicht der Fall war (habe nichts an den Rules geändert). Zufall?
-
Kann sein, vielleicht hatte das auch mit dem Crash zu tun und jetzt wird es korrekt abgefangen?
Hab leider keine weiterführenden Infos von Suricata bislang.
Grüsse
Franco