<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] ACID and MSSQL</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>If it helps, here's the output line I use:</FONT>
</P>

<P><FONT SIZE=2>output database: log, mssql, host=hostname dbname=snort user=snort password=test port=1433 sensor=sensorname</FONT>
</P>

<P><FONT SIZE=2>Yours:</FONT>
</P>

<P><FONT SIZE=2>output database: log, mssql, dbname=snort user=snort password=test</FONT>
</P>

<P><FONT SIZE=2>The port may not be needed, but I couldn't get it to work until I added the host.</FONT>
</P>

<P><FONT SIZE=2>Mark</FONT>
</P>
<BR>

<P><FONT SIZE=2>> -----Original Message-----</FONT>
<BR><FONT SIZE=2>> From: SkatFiend@...661... [<A HREF="mailto:SkatFiend@...661...">mailto:SkatFiend@...661...</A>]</FONT>
<BR><FONT SIZE=2>> Sent: Friday, October 26, 2001 4:58 PM</FONT>
<BR><FONT SIZE=2>> To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> Subject: Re: [Snort-users] ACID and MSSQL</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Ok, Im really getting busted on this, its probably something </FONT>
<BR><FONT SIZE=2>> simple that Im </FONT>
<BR><FONT SIZE=2>> overlooking, but I can not get a connection from snort to mssql.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> 1) I am using sql authentication</FONT>
<BR><FONT SIZE=2>> 2) using TCP/IP as connection protocol, although I have tried </FONT>
<BR><FONT SIZE=2>> others to see </FONT>
<BR><FONT SIZE=2>> if they would work</FONT>
<BR><FONT SIZE=2>> 3) Have tried different logins and pw's, checked permissions.</FONT>
<BR><FONT SIZE=2>> 4) verified logins do work, connections show mssql Ent. Mgr.</FONT>
<BR><FONT SIZE=2>> 5) run mssql create script file from SQL quiry analizer, </FONT>
<BR><FONT SIZE=2>> tables were parsed </FONT>
<BR><FONT SIZE=2>> and built in the "snort" database</FONT>
<BR><FONT SIZE=2>> 6) currently using the following line for the plugin : </FONT>
<BR><FONT SIZE=2>> output database: log, mssql, dbname=snort user=snort password=test</FONT>
<BR><FONT SIZE=2>> I have tried different sytax combinations for this line to </FONT>
<BR><FONT SIZE=2>> test without </FONT>
<BR><FONT SIZE=2>> success</FONT>
<BR><FONT SIZE=2>> 7) when I execute the "Test Configuration" button option from </FONT>
<BR><FONT SIZE=2>> IDScenter the </FONT>
<BR><FONT SIZE=2>> load sequence runs up to the point the "output" plugin should </FONT>
<BR><FONT SIZE=2>> run and stops</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Any suggestions would be appreciated.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Cliff</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> --------------------------------------------------------------</FONT>
<BR><FONT SIZE=2>> ----------------</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> ---------------------------------</FONT>
<BR><FONT SIZE=2>> You have to use SQL auth.  The server can be set in Mixed </FONT>
<BR><FONT SIZE=2>> mode but I doubt</FONT>
<BR><FONT SIZE=2>> it will work in Windows only mode.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> I think snort is using a straight TCP/IP connection.  Make </FONT>
<BR><FONT SIZE=2>> sure you have the</FONT>
<BR><FONT SIZE=2>> MSSQL DB client installed on the snort m/c and you do not </FONT>
<BR><FONT SIZE=2>> have to specify a</FONT>
<BR><FONT SIZE=2>> port in snort.conf.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Are you getting any errors?  Once you get a successful </FONT>
<BR><FONT SIZE=2>> connect you should</FONT>
<BR><FONT SIZE=2>> see it in Enterprise Admin Current Activity..</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> -----Original Message-----</FONT>
<BR><FONT SIZE=2>> From: SkatFiend@...661... [<A HREF="mailto:SkatFiend@...661...">mailto:SkatFiend@...661...</A>]</FONT>
<BR><FONT SIZE=2>> Sent: Wednesday, October 24, 2001 07:43</FONT>
<BR><FONT SIZE=2>> To: drew600_1999@...131...; michaels@...155...;</FONT>
<BR><FONT SIZE=2>> snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> Subject: Re: [Snort-users] ACID and MSSQL</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Hi Drew,</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Thanks for the info.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> I have followed the steps outlined below and can not obtain a </FONT>
<BR><FONT SIZE=2>> "snort" SQL</FONT>
<BR><FONT SIZE=2>> connection to the "snort" SQL database.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> A few questions:</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> 1) should I use "Windows Authentication" or "SQL </FONT>
<BR><FONT SIZE=2>> Authentication" for login</FONT>
<BR><FONT SIZE=2>> to</FONT>
<BR><FONT SIZE=2>> the MSSQL server???</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> 2) what type of connection is the snort plugin supporting </FONT>
<BR><FONT SIZE=2>> aka: name pipes,</FONT>
<BR><FONT SIZE=2>> TCPIP, Multiprotocol, ect???</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> 3) any other specific setup parameters???</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Thanks, Cliff</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> --------------------------------------------------------------</FONT>
<BR><FONT SIZE=2>> --------------</FONT>
<BR><FONT SIZE=2>> --</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> ------------------------------</FONT>
<BR><FONT SIZE=2>> Well they don't have a sheet yet.  Mike asked me to type one </FONT>
<BR><FONT SIZE=2>> up but I have</FONT>
<BR><FONT SIZE=2>> yet to get time.  Here are the basic steps:</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> 1.) Have SQL installed and running either local or on another box.</FONT>
<BR><FONT SIZE=2>> 2.) Create a DB called snort on the SQL server</FONT>
<BR><FONT SIZE=2>> 3.) Use the sql script mssql.conf that comes with the Win32 </FONT>
<BR><FONT SIZE=2>> distribution.</FONT>
<BR><FONT SIZE=2>> This is a text file with TSQL statements for creating the </FONT>
<BR><FONT SIZE=2>> tables.  You can</FONT>
<BR><FONT SIZE=2>> run this in many different ways, but I used SQL Query analyzer tool</FONT>
<BR><FONT SIZE=2>> 4.) Create a User for the snort DB and make sure it has </FONT>
<BR><FONT SIZE=2>> enough rights to</FONT>
<BR><FONT SIZE=2>> add/updated the DB.  I just made my snortuser DBO for the snort DB.</FONT>
<BR><FONT SIZE=2>> 5.) The machine that is running Snort will need the MS SQL </FONT>
<BR><FONT SIZE=2>> client installed.</FONT>
<BR><FONT SIZE=2>> Install this by running SQL Server setup on the workstation </FONT>
<BR><FONT SIZE=2>> and selecting</FONT>
<BR><FONT SIZE=2>> the client tools install.</FONT>
<BR><FONT SIZE=2>> 6.) Configure the DB plug-in line in snort.conf to point to </FONT>
<BR><FONT SIZE=2>> the right DB</FONT>
<BR><FONT SIZE=2>> server and give it the appropriate credentials.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> that's the best I can come up with from memory right now.  </FONT>
<BR><FONT SIZE=2>> Give it a try and</FONT>
<BR><FONT SIZE=2>> see how it goes.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> -----Original Message-----</FONT>
<BR><FONT SIZE=2>> From: SkatFiend@...661... [<A HREF="mailto:SkatFiend@...661...">mailto:SkatFiend@...661...</A>]</FONT>
<BR><FONT SIZE=2>> Sent: Friday, October 19, 2001 09:51</FONT>
<BR><FONT SIZE=2>> To: michaels@...155...; drew600_1999@...131...;</FONT>
<BR><FONT SIZE=2>> snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> Subject: Re: [Snort-users] ACID and MSSQL</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Hi Mike,</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> I am also trying to setup snort with mssql. I looked on the </FONT>
<BR><FONT SIZE=2>> "silicondefense"</FONT>
<BR><FONT SIZE=2>> web site but only saw documentation relivent to mysql setup. </FONT>
<BR><FONT SIZE=2>> Can you tell me</FONT>
<BR><FONT SIZE=2>> Exactly where I might be about to locate mssql setup documentation?</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Thanks, Cliff Arms</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> _________________________________________________________</FONT>
<BR><FONT SIZE=2>> Do You Yahoo!?</FONT>
<BR><FONT SIZE=2>> Get your free @yahoo.com address at <A HREF="http://mail.yahoo.com" TARGET="_blank">http://mail.yahoo.com</A></FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> _______________________________________________</FONT>
<BR><FONT SIZE=2>> Snort-users mailing list</FONT>
<BR><FONT SIZE=2>> Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2>> <A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>> Snort-users list archive:</FONT>
<BR><FONT SIZE=2>> <A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> _________________________________________________________</FONT>
<BR><FONT SIZE=2>> Do You Yahoo!?</FONT>
<BR><FONT SIZE=2>> Get your free @yahoo.com address at <A HREF="http://mail.yahoo.com" TARGET="_blank">http://mail.yahoo.com</A></FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> _______________________________________________</FONT>
<BR><FONT SIZE=2>> Snort-users mailing list</FONT>
<BR><FONT SIZE=2>> Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2>> <A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>> Snort-users list archive:</FONT>
<BR><FONT SIZE=2>> <A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
<BR><FONT SIZE=2>> ---</FONT>
<BR><FONT SIZE=2>> Incoming mail is certified Virus Free.</FONT>
<BR><FONT SIZE=2>> Checked by AVG anti-virus system (<A HREF="http://www.grisoft.com" TARGET="_blank">http://www.grisoft.com</A>).</FONT>
<BR><FONT SIZE=2>> Version: 6.0.286 / Virus Database: 152 - Release Date: 10/9/2001</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
</P>

</BODY>
</HTML>