<div dir="ltr">I'm investigating a client's setup and they are running Snort 2.9.3.1.<br><br>The snort conf file has the following line:<br><br><b><span style="font-family:garamond,serif">output unified2: filename unified2.alert</span></b><br>
<br>Snort is being run with an explicit '-l' switch to set the log directory.<br><br>When I run a pcap thru the engine that generates an alert, the unified2 alert filename in the log directory looks like this (note the leading period and lack of appended timestamp):<br>
<b><span style="font-family:garamond,serif"><br>.unified2.alert.0</span></b><br><br>Is this a known bug with this version of Snort?  Any other reason why this would be happening?<br><br>Thanks.<br><br>-Mike Cox<br></div>