<div dir="ltr">Hello Zach,<div><br></div><div>Have you tried with tools/u2spewfoo?</div><div><br></div><div>Thanks!</div><div>-B</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Nov 11, 2013 at 2:19 PM, Zach Hatsis <span dir="ltr"><<a href="mailto:Zach.Hatsis@...3444..." target="_blank">Zach.Hatsis@...3444...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div>
<p class="MsoNormal">Hello, <u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">I believe I’m running into issues with snort generating a corrupt unified2 output to my snort logs. I am running Snort-2.9.5.5 on CentOS6.4 64 bit .  I compiled it following this guide:
<a href="https://s3.amazonaws.com/snort-org/www/assets/202/snort2953_centos6x.pdf" target="_blank">
https://s3.amazonaws.com/snort-org/www/assets/202/snort2953_centos6x.pdf</a> <u></u>
<u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">At first I thought my issue was with Snorby not processing the logs, because I saw data being written to them… then I thought it was a barnyard issue, because barnyard wouldn’t write any events to the database at all, so the tables were
 all empty.. then I tried running barnyard in batch mode on a log file and got this output:
<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">[root@...3445... schemas]# barnyard2 -c /etc/snort/barnyard.conf -o /var/log/snort/snort.u2.1383955664<u></u><u></u></p>
<p class="MsoNormal">Running in Batch mode<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">        --== Initializing Barnyard2 ==--<u></u><u></u></p>
<p class="MsoNormal">Initializing Input Plugins!<u></u><u></u></p>
<p class="MsoNormal">Initializing Output Plugins!<u></u><u></u></p>
<p class="MsoNormal">Parsing config file "/etc/snort/barnyard.conf"<u></u><u></u></p>
<p class="MsoNormal">Barnyard2 spooler: Event cache size set to [2048] <u></u><u></u></p>
<p class="MsoNormal">Log directory = /var/log/snort/<u></u><u></u></p>
<p class="MsoNormal">INFO database: Defaulting Reconnect/Transaction Error limit to 10
<u></u><u></u></p>
<p class="MsoNormal">INFO database: Defaulting Reconnect sleep time to 5 second <u></u>
<u></u></p>
<p class="MsoNormal">Node unique name is: localhost:eth0<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">[SignatureReferencePullDataStore()]: No Reference found in database ...
<u></u><u></u></p>
<p class="MsoNormal">database: compiled support for (mysql)<u></u><u></u></p>
<p class="MsoNormal">database: configured to use mysql<u></u><u></u></p>
<p class="MsoNormal">database: schema version = 107<u></u><u></u></p>
<p class="MsoNormal">database:           host = localhost<u></u><u></u></p>
<p class="MsoNormal">database:           user = snort<u></u><u></u></p>
<p class="MsoNormal">database:  database name = snort<u></u><u></u></p>
<p class="MsoNormal">database:    sensor name = localhost:eth0<u></u><u></u></p>
<p class="MsoNormal">database:      sensor id = 1<u></u><u></u></p>
<p class="MsoNormal">database:     sensor cid = 8<u></u><u></u></p>
<p class="MsoNormal">database:  data encoding = hex<u></u><u></u></p>
<p class="MsoNormal">database:   detail level = full<u></u><u></u></p>
<p class="MsoNormal">database:     ignore_bpf = no<u></u><u></u></p>
<p class="MsoNormal">database: using the "alert" facility<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">        --== Initialization Complete ==--<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">  ______   -*> Barnyard2 <*-<u></u><u></u></p>
<p class="MsoNormal">/ ,,_  \  Version 2.1.11 (Build 317)<u></u><u></u></p>
<p class="MsoNormal">|o"  )~|  By Ian Firns (SecurixLive): <a href="http://www.securixlive.com/" target="_blank">http://www.securixlive.com/</a><u></u><u></u></p>
<p class="MsoNormal">+ '''' +  (C) Copyright 2008-2012 Ian Firns <<a href="mailto:firnsy@...3030..." target="_blank">firnsy@...3030...</a>><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">WARNING: Ignoring corrupt/truncated waldofile '/var/log/barnyard2/barnyard2.waldo'<u></u><u></u></p>
<p class="MsoNormal">Processing 1 files...<u></u><u></u></p>
<p class="MsoNormal">Opened spool file '/var/log/snort/snort.u2.1383955664'<u></u><u></u></p>
<p class="MsoNormal">ERROR: Input file '/var/log/snort/snort.u2.1383955664' is corrupted! (33)<u></u><u></u></p>
<p class="MsoNormal">Closing spool file '/var/log/snort/snort.u2.1383955664'. Read 0 records<u></u><u></u></p>
<p class="MsoNormal">===============================================================================<u></u><u></u></p>
<p class="MsoNormal">Record Totals:<u></u><u></u></p>
<p class="MsoNormal">   Records:            0<u></u><u></u></p>
<p class="MsoNormal">    Events:            0 (0.000%)<u></u><u></u></p>
<p class="MsoNormal">   Packets:            0 (0.000%)<u></u><u></u></p>
<p class="MsoNormal">   Unknown:            0 (0.000%)<u></u><u></u></p>
<p class="MsoNormal">===============================================================================<u></u><u></u></p>
<p class="MsoNormal">Packet breakdown by protocol (includes rebuilt packets):<u></u><u></u></p>
<p class="MsoNormal">      ETH: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  ETHdisc: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">     VLAN: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">     IPV6: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  IP6 EXT: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  IP6opts: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  IP6disc: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">      IP4: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  IP4disc: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">    TCP 6: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">    UDP 6: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">    ICMP6: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  ICMP-IP: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">      TCP: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">      UDP: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">     ICMP: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  TCPdisc: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  UDPdisc: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  ICMPdis: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">     FRAG: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">   FRAG 6: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">      ARP: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">    EAPOL: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  ETHLOOP: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">      IPX: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">    OTHER: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">  DISCARD: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">InvChkSum: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">   S5 G 1: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">   S5 G 2: 0          (0.000%)<u></u><u></u></p>
<p class="MsoNormal">    Total: 0         <u></u><u></u></p>
<p class="MsoNormal">===============================================================================<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">So I went a step further back and tried to convert the file using the u2boat tool and got this output:
<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">[root@...3445... barnyard2]# /usr/local/bin/u2boat /var/log/snort/snort.u2.1383955664 snortu2-afteru2boat<u></u><u></u></p>
<p class="MsoNormal">Defaulting to pcap output.<u></u><u></u></p>
<p class="MsoNormal">Error: incomplete record. 2561535 of 33555456 bytes read.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Has anyone else run into this bug?  Thanks!<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">When I run snort, I run it with these args: <br>
[root@...3445... etc]# snort -d -i eth0 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort -L snort.u2<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Below is the unified2 config for /etc/snort/snort.conf:<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">output unified2: filename snort.u2, limit 128<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><span style>Zach H</span><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>

<br>------------------------------------------------------------------------------<br>
November Webinars for C, C++, Fortran Developers<br>
Accelerate application performance with scalable programming models. Explore<br>
techniques for threading, error checking, porting, and tuning. Get the most<br>
from the latest Intel processors and coprocessors. See abstracts and register<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=60136231&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=60136231&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>