<div dir="ltr"><div>Hello Mike,</div><div><br></div>Can you send me your snort.conf, pcap and command line? <div><br></div><div>Thanks!</div><div><br></div><div>B</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Fri, Jan 17, 2014 at 9:04 AM, Mike Cox <span dir="ltr"><<a href="mailto:mike.cox52@...2499..." target="_blank">mike.cox52@...2499...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">I'm investigating a client's setup and they are running Snort 2.9.3.1.<br><br>The snort conf file has the following line:<br><br><b><span style="font-family:garamond,serif">output unified2: filename unified2.alert</span></b><br>

<br>Snort is being run with an explicit '-l' switch to set the log directory.<br><br>When I run a pcap thru the engine that generates an alert, the unified2 alert filename in the log directory looks like this (note the leading period and lack of appended timestamp):<br>

<b><span style="font-family:garamond,serif"><br>.unified2.alert.0</span></b><br><br>Is this a known bug with this version of Snort?  Any other reason why this would be happening?<br><br>Thanks.<span class="HOEnZb"><font color="#888888"><br>
<br>-Mike Cox<br></font></span></div>
<br>------------------------------------------------------------------------------<br>
CenturyLink Cloud: The Leader in Enterprise Cloud Services.<br>
Learn Why More Businesses Are Choosing CenturyLink Cloud For<br>
Critical Workloads, Development Environments & Everything In Between.<br>
Get a Quote or Start a Free Trial Today.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=119420431&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=119420431&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>