<div dir="ltr"><div>Unfortunately I cannot (NDA with client).  Other than what I've already provided, I can say that the .unified2.alert.0 file appears to be the correct unified2 file (and in the correct directory), it's just that filename seems to be wack.<br>
<br></div><div>I've tried adding flags to the output line like these but I still get the same results:<br><br><b><span style="font-family:garamond,serif">output unified2: filename unified2.alert, nostamp<br></span></b><br>
<b><span style="font-family:garamond,serif">output unified2: filename unified2.alert, mpls_event_types<br></span></b></div><div><br>Thanks.<br><br></div>-Mike Cox<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Fri, Jan 17, 2014 at 1:20 PM, Bhagya Bantwal <span dir="ltr"><<a href="mailto:bbantwal@...402..." target="_blank">bbantwal@...402...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div>Hello Mike,</div><div><br></div>Can you send me your snort.conf, pcap and command line? <div><br></div><div>Thanks!</div><div><br></div><div>B</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
<div><div class="h5">
On Fri, Jan 17, 2014 at 9:04 AM, Mike Cox <span dir="ltr"><<a href="mailto:mike.cox52@...2499..." target="_blank">mike.cox52@...2499...</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div class="h5">
<div dir="ltr">I'm investigating a client's setup and they are running Snort 2.9.3.1.<br><br>The snort conf file has the following line:<br><br><b><span style="font-family:garamond,serif">output unified2: filename unified2.alert</span></b><br>


<br>Snort is being run with an explicit '-l' switch to set the log directory.<br><br>When I run a pcap thru the engine that generates an alert, the unified2 alert filename in the log directory looks like this (note the leading period and lack of appended timestamp):<br>


<b><span style="font-family:garamond,serif"><br>.unified2.alert.0</span></b><br><br>Is this a known bug with this version of Snort?  Any other reason why this would be happening?<br><br>Thanks.<span><font color="#888888"><br>

<br>-Mike Cox<br></font></span></div>
<br></div></div>------------------------------------------------------------------------------<br>
CenturyLink Cloud: The Leader in Enterprise Cloud Services.<br>
Learn Why More Businesses Are Choosing CenturyLink Cloud For<br>
Critical Workloads, Development Environments & Everything In Between.<br>
Get a Quote or Start a Free Trial Today.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=119420431&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=119420431&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>


Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net" target="_blank">Snort-devel@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>
</blockquote></div><br></div>