<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ks_c_5601-1987">
<style type="text/css" id="owaParaStyle"></style>
</head>
<body fpstyle="1" ocsi="0">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;">Look for ** comments below.
<div><br>
<div>
<hr tabindex="-1" style="color: rgb(0, 0, 0); font-family: 'Times New Roman'; font-size: 16px;">
<div id="divRpF979233" style="color: rgb(0, 0, 0); font-family: 'Times New Roman'; font-size: 16px; direction: ltr;">
<font face="Tahoma" size="2" color="#000000"><b>From:</b> 박종일 [pji5732@...3549...]<br>
<b>Sent:</b> Thursday, January 15, 2015 2:03 AM<br>
<b>To:</b> snort-devel@lists.sourceforge.net<br>
<b>Subject:</b> [Snort-devel] Not working unified2 module in snort++ (snort 3.0)<br>
</font><br>
</div>
<div style="color: rgb(0, 0, 0); font-family: 'Times New Roman'; font-size: 16px;">
</div>
<div>
<div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;">I want to save the log file of snort 3.0 as unified2 file.</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><br>
</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;">however, i be unable to do it</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><br>
</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;">my case is create unified2 file</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><br>
</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;">but, file is no contents</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><br>
</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;">my setting (snort.lua)</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><br>
</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;">--------------------------------------------------------------------------</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- Snort++ configuration</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- setup environment</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- given:</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- export DIR=/install/path</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- configure --prefix=$DIR</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- make install</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- then:</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- export LUA_PATH=$DIR/include/snort/lua/?.lua\;\;</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- export SNORT_LUA_PATH=$DIR/conf/</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- setup the basics</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>require('snort_config')  -- for loading</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- Setup the network addresses you are protecting</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>HOME_NET = '192.168.223.0/24'</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- Set up the external network addresses.</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- (leave as "any" in most situations)</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>EXTERNAL_NET = not HOME_NET</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>** The not HOME_NET syntax is valid Lua but results in a bool variable which won't work.  That negation needs to be done via string concatenation like this:</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>** EXTERNAL_NET = '!' .. HOME_NET</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>conf_dir = os.getenv('SNORT_LUA_PATH')</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>if ( not conf_dir ) then</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>    conf_dir = '.'</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>end</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>dofile(conf_dir .. '/snort_defaults.lua')</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>dofile(conf_dir .. '/classification.lua')</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>dofile(conf_dir .. '/reference.lua')</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- configure modules</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- mod = { } uses internal defaults</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- you can see them with snort --help-module mod</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- comment or delete to disable mod functionality</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- you can also use default_ftp_server and default_wizard</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>---------------------------------------------------------------------------</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--pcap file</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--log_pcap = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--log_pcap.limit = 0</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--log_pcap.units = B</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- uncomment ppm if you built with --enable-ppm</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>ppm = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- uncomment profile if you built with --enable-perfprofile</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--profile = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- uncomment normalizer if you are inline or not --pedantic</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--normalizer = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>stream = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>stream_ip = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>stream_icmp = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>stream_tcp = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>stream_udp = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>perf_monitor = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--perf_monitor.console = true</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--perf_monitor.file = false</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>perf_monitor.seconds = 10</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>perf_monitor.packets = 5</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>arp_spoof = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>back_orifice = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>rpc_decode = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>port_scan = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>telnet = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>-- use http_inspect or new_http_inspect (incomplete)</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>http_inspect = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--new_http_inspect = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>ftp_server = default_ftp_server</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>ftp_client = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>ftp_data = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>wizard = default_wizard</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>--unified2 & output</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>alert_fast = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>alert_syslog = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>** These will result in additional alert modes being activated.  This is supported, just an FYI.</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>unified2 = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>unified2.nostamp = ture</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div><b><font face="Gulim" size="2">** </font><font face="Gulim">true</font><font face="Gulim" size="2"> should be true.  The typo results in an undefined variable which means nostamp is set to nil and this is unknown to Snort (a documented 'gotcha').  That's
 why you see timestamps below.</font></b></div>
<div><b><font face="Gulim" size="2"><br>
</font></b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b>output = { }</b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><b><br>
</b></div>
<div><b><font face="Gulim" size="2">** There are no rules defined so you won't get any alerts even with the above changes.  Check the ips module or use the -R option, etc.</font></b></div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><br>
</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;">--------------------------------------------------------------------------</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><br>
</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;"><br>
</div>
<div style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt;">
<div>and then,  i start it</div>
<div><br>
</div>
<div>command : <b>snort -i env16777736  -c /usr/lib/etc/snort/snort.lua -K text </b></div>
<div><br>
</div>
<div>however, file's contents is not</div>
<div><br>
</div>
<div><b>[root@...196... ~]# ll</b></div>
<div><b>total 39016</b></div>
<div><b>drwxr-xr-x.  2 root root        27 Jan 11 23:57 a</b></div>
<div><b>-rw-------.  1 root root       979 Jan 11 19:02 anaconda-ks.cfg</b></div>
<div><b>-rwxr--r--.  1 root root      1011 Jan 12 01:43 autoinstall.sh</b></div>
<div><b>drwxr-xr-x. 11 root root      4096 Jan 14 00:00 barnyard2</b></div>
<div><b>drwxr-xr-x.  6 root root      4096 Jan 11 23:39 daq-2.0.4</b></div>
<div><b>-rw-r--r--.  1 root root    495316 Oct 23 12:57 daq-2.0.4.tar.gz</b></div>
<div><b>drwxr-xr-x.  9  501   501     4096 Jan 11 21:03 libdnet-1.12</b></div>
<div><b>-rw-r--r--.  1 root root    970125 Jan 20  2007 libdnet-1.12.tgz</b></div>
<div><b>-rw-------.  1 root root     38654 Jan 14 12:09 log.pcap</b></div>
<div><b>drwxr-xr-x.  9  501 games     4096 Jan 14 07:45 snort-3.0.0-a1</b></div>
<div><b>-rw-r--r--.  1 root root   2811656 Dec 10 07:44 snort-3.0.0-a1-130-auto.tar.gz</b></div>
<div><b>drwxr-xr-x.  4  501 games     4096 Jan 14 07:30 snort_extra-1.0.0-a1</b></div>
<div><b>-rw-r--r--.  1 root root    381847 Dec 16 12:55 snort_extra-1.0.0-a1-130-auto.tar.gz</b></div>
<div><b>-rw-r--r--.  1 root root  35213966 Jan 13 13:59 snortrules-2970.tar.gz</b></div>
<div><b>-rw-------.  1 root root         0 Jan 14 12:41 unified2log.u2.1421257261</b></div>
<div><b>-rw-------.  1 root root         0 Jan 14 12:43 unified2log.u2.1421257384</b></div>
<div><b>-rw-------.  1 root root         0 Jan 14 12:45 unified2log.u2.1421257511</b></div>
<div><b>-rw-------.  1 root root         0 Jan 14 12:47 unified2log.u2.1421257621</b></div>
<div><b>-rw-------.  1 root root         0 Jan 14 13:47 unified2log.u2.1421261256</b></div>
<div><b>[root@...196... ~]# cat unified2log.u2.1421261256</b></div>
<div><b>[root@...196... ~]#</b></div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>please help me....</div>
</div>
<br>
<div id="content-wrap" style="color: rgb(0, 0, 0); font-family: Gulim; font-size: 10pt; padding: 10px 0px;">
<table border="0" cellpadding="0" cellspacing="0" width="99%">
<caption style="visibility:hidden; overflow:hidden; top:0; left:0; width:0; height:0; font-size:0; line-height:0">
블로그서명</caption>
<tbody>
<tr>
<td colspan="2" height="16" style=""></td>
</tr>
<tr>
<td align="left" valign="top" width="29"><a href="http://blog.naver.com/pji5732.do" target="_blank"><img src="https://ssl.pstatic.net/static/mail4/blog_img.gif" alt="블로그" height="16" width="21" border="0"></a></td>
<td align="left" valign="top" style="padding-top:3px; line-height:16px"><a href="http://blog.naver.com/pji5732.do" style="float:left; font-family:dotum; color:black; font-size:9pt; font-weight:bold; text-decoration:none; margin-bottom:4px" target="_blank">시작했다면
 끝을 보아라</a><br>
<a href="http://blog.naver.com/pji5732.do" class="c" title="시작했다면 끝을 보아라" style="clear:both; float:left; font-family:dotum; color:#666; font-size:9pt; font-weight:normal; text-decoration:none; line-height:15px" target="_blank">자기소개를 입력하세요.</a></td>
</tr>
</tbody>
</table>
</div>
</div>
<table style="color: rgb(0, 0, 0); font-family: 'Times New Roman'; font-size: 16px;">
<tbody>
<tr>
<td><img src="http://mail.naver.com/readReceipt/notify/?img=SlYqFqkG1NISa6i4hAnZKxJoKopoMxuXKxb9KxgqFruZFAvXF6MXazigMX%2B0Mour74lR74lcWNFlbX30WLloWrdQaXF5WXid7630%2B4kntzwGbX3q7NFT%2BBiop6pTb4%2B074l0%2Bg%3D%3D.gif" border="0"></td>
</tr>
</tbody>
</table>
</div>
</div>
</div>
</div>
</body>
</html>