Absolutely... so pretty straightforward.. everything that you specified at runtime can be specified in the pulledpork.conf file that can then be called (as you have done) using the -c <path to pulledpork.conf> runtime flag.. <div>
<br></div><div>You have a few errors:</div><div><ol><li>If you are planning on using SO rules, you must specify an arch</li><li>You have specified the path to an existing directory as the exact same path that you want to write your snort rules to.  You will need to add an additional /filename and specify said filename in your snort.conf as the rules file...</li>
<li>Was there a guide that you used to get to this point or?</li></ol></div><div>JJC<br><br><div class="gmail_quote">On Fri, Sep 14, 2012 at 9:10 AM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...435..." target="_blank">jesler@...435...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">JJ, can you help out here?<br>
<br>
On Sep 14, 2012, at 3:34 AM, PR <<a href="mailto:oly562@...2420...">oly562@...2420...</a>> wrote:<br>
<br>
> ok, i commented out ET rules. bah, i will deal with that later.<br>
><br>
><br>
> 1. i ran<br>
><br>
> ./<a href="http://pulledpork.pl" target="_blank">pulledpork.pl</a> -s /etc/snort/so_rules -p /usr/local/bin/snort<br>
> -C /etc/snort.conf -i /etc/snort/disablesid.conf<br>
> -b /etc/snort/dropsid.conf -e /etc/snort/enablesid.conf<br>
> -M /etc/snort/modifysid.conf -e /etc/snort/enablesid.conf<br>
> -c /etc/snort/pulledpork.conf -o /etc/snort/rules/<br>
><br>
><br>
> 2. I got:<br>
><br>
> Use of uninitialized value $arch in regexp compilation<br>
> at ./<a href="http://pulledpork.pl" target="_blank">pulledpork.pl</a> line 271.<br>
>       Done!<br>
> Reading rules...<br>
> Generating Stub Rules....<br>
> Something failed in the gen_stubs sub, please verify your shared object<br>
> config!<br>
>       Done<br>
> Reading rules...<br>
> Reading rules...<br>
> Processing /etc/snort/enablesid.conf....<br>
>       Modified 0 rules<br>
>       Done<br>
> Processing /etc/snort/dropsid.conf....<br>
>       Modified 0 rules<br>
>       Done<br>
> Processing /etc/snort/disablesid.conf....<br>
>       Modified 0 rules<br>
>       Done<br>
> Modifying Sids....<br>
>       Done!<br>
> Setting Flowbit State....<br>
>       Enabled 11 flowbits<br>
>       Enabled 1 flowbits<br>
>       Done<br>
> Writing /etc/snort/rules....<br>
> Unable to write /etc/snort/rules - Is a directory<br>
> at ./<a href="http://pulledpork.pl" target="_blank">pulledpork.pl</a> line 1083.<br>
>       main::rule_write('HASH(0x8f682ac)', '/etc/snort/rules', 1, undef)<br>
> called at ./<a href="http://pulledpork.pl" target="_blank">pulledpork.pl</a> line 1870<br>
><br>
><br>
> 3. also, do i need to define all that stuff in cmdline, couldn't i just<br>
> uncomment the /etc/snort/disablesid.confs in pulledpork.conf? just<br>
> wondering.<br>
><br>
><br>
> Thanks!!! any input is really appreciated. i'm learning more and more<br>
> every day. Pretty soon i will be asking about rule creation lol<br>
><br>
><br>
><br>
<br>
<br>
------------------------------------------------------------------------------<br>
Got visibility?<br>
Most devs has no idea what their production app looks like.<br>
Find out how fast your code is with AppDynamics Lite.<br>
<a href="http://ad.doubleclick.net/clk;262219671;13503038;y" target="_blank">http://ad.doubleclick.net/clk;262219671;13503038;y</a>?<br>
<a href="http://info.appdynamics.com/FreeJavaPerformanceDownload.html" target="_blank">http://info.appdynamics.com/FreeJavaPerformanceDownload.html</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br></div>