<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<TITLE>Message</TITLE>

<META content="MSHTML 6.00.2800.1126" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=420192718-13122002><FONT face=Arial color=#0000ff size=2>Did 
you setup a user account for the service and give it appropriate permissions to 
the SNORT binary and logging folder?</FONT></SPAN></DIV>
<DIV><SPAN class=420192718-13122002><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=420192718-13122002><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV></DIV>
  <DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left><FONT 
  face=Tahoma size=2>-----Original Message-----<BR><B>From:</B> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net] <B>On Behalf Of </B>L. 
  Christopher Luther<BR><B>Sent:</B> Thursday, December 12, 2002 2:59 
  PM<BR><B>To:</B> Snort-Users (E-mail)<BR><B>Subject:</B> [Snort-users] Snort 
  1.8.7 as a Win2K Service (bump)<BR><B>Sensitivity:</B> 
  Confidential<BR><BR></FONT></DIV>
  <P><FONT size=2>Using the Snort 1.8.7 binary from Silicon Defense, I've 
  attempted to</FONT> <BR><FONT size=2>install Snort as a Win2K service.  
  I've used this same Snort binary</FONT> <BR><FONT size=2>on the same machine 
  via a console shell, and everything worked</FONT> <BR><FONT size=2>perfectly 
  (e.g., alerts to an ASCII file, logging to a remote MySQL</FONT> <BR><FONT 
  size=2>database).  </FONT></P>
  <P><FONT size=2>When I install Snort as a service, the following output is 
  generated:</FONT> <BR><FONT size=2> </FONT> </P>
  <P><FONT size=2>[snip]</FONT> <BR><FONT size=2>C:\BIN\Snort>snort.exe 
  /SERVICE /INSTALL -c "C:\BIN\Snort\snort.conf" </FONT><BR><FONT size=2>-l 
  "C:\BIN\Snort\log" -h 10.0.1.0/24 -i 1 -y</FONT> </P>
  <P><FONT size=2> [SNORT_SERVICE] Attempting to install the Snort 
  service.</FONT> </P>
  <P><FONT size=2> [SNORT_SERVICE] The full path to the Snort binary 
  appears to be:</FONT> <BR><FONT size=2>    
  C:\BIN\Snort\snort.exe /SERVICE</FONT> </P>
  <P><FONT size=2> [SNORT_SERVICE] Successfully added registry keys 
  to:</FONT> <BR><FONT size=2>    
  \HKEY_LOCAL_MACHINE\SOFTWARE\Snort\</FONT> </P>
  <P><FONT size=2> [SNORT_SERVICE] Successfully added the Snort service to 
  the Services</FONT> <BR><FONT size=2>database.</FONT> <BR><FONT 
  size=2>[snip]</FONT> </P>
  <P><FONT size=2>And when I "show" the service parameters, they appear 
  as:  </FONT></P>
  <P><FONT size=2>[snip]</FONT> <BR><FONT size=2>C:\BIN\Snort>snort.exe 
  /SERVICE /SHOW</FONT> </P>
  <P><FONT size=2>Snort is currently configured to run as a Windows service 
  using the</FONT> <BR><FONT size=2>following command-line parameters:</FONT> 
  </P>
  <P><FONT size=2>     -c C:\BIN\Snort\snort.conf -l 
  C:\BIN\Snort\log -h 10.0.1.0/24 -i 1 -y</FONT> <BR><FONT size=2>[snip]</FONT> 
  </P>
  <P><FONT size=2>So far, everything is normal.  BTW, this is the exact 
  command line I</FONT> <BR><FONT size=2>use to launch Snort via a command 
  shell.  </FONT></P>
  <P><FONT size=2>However, when I attempt to start Snort via the Services MMC 
  snap-in</FONT> <BR><FONT size=2>or a console "net start snort" command, the 
  service appears to start</FONT> <BR><FONT size=2>correctly, but I end up with 
  an Event Log message that indicates</FONT> <BR><FONT size=2>something bad 
  happened:    </FONT></P>
  <P><FONT size=2>Event Type:     Error</FONT> <BR><FONT 
  size=2>Event Source:   Service Control Manager</FONT> <BR><FONT 
  size=2>Event Category: None</FONT> <BR><FONT size=2>Event 
  ID:       7031</FONT> <BR><FONT 
  size=2>Date:           
  12/10/2002</FONT> <BR><FONT size=2>Time:   
          3:25:23 PM</FONT> <BR><FONT 
  size=2>User:           N/A</FONT> 
  <BR><FONT size=2>Computer:       
  DEMOXSI-1</FONT> <BR><FONT size=2>Description:</FONT> <BR><FONT size=2>The 
  Snort service terminated unexpectedly.  It has done this 1</FONT> 
  <BR><FONT size=2>time(s).  The following corrective action will be taken 
  in 0</FONT> <BR><FONT size=2>milliseconds: No action. </FONT></P>
  <P><FONT size=2>That's nothing else.  Does anyone have any clues about 
  this one?  </FONT></P><BR>
  <P><FONT size=2>Sincerely,  </FONT></P>
  <P><FONT size=2>L. Christopher Luther  </FONT><BR><FONT size=2>Technical 
  Consultant  </FONT><BR><FONT size=2>Xybernaut Solutions, Inc.  
  </FONT><BR><FONT size=2>(703) 654-3642  </FONT><BR><FONT 
  size=2>cluther@...6331...  </FONT><BR><FONT size=2><A 
  href="http://www.xybernautsolutions.com" 
  target=_blank>http://www.xybernautsolutions.com</A>  </FONT></P>
  <P><FONT size=2>My PGP Public Key:  </FONT><BR><FONT size=2><A 
  href="http://keyserver.pgp.com/pks/lookup?op=get&search=0x21261B88" 
  target=_blank>http://keyserver.pgp.com/pks/lookup?op=get&search=0x21261B88</A></FONT> 
  </P>
  <P><FONT size=2>CONFIDENTIALITY NOTE:  This communication contains 
  </FONT><BR><FONT size=2>information that is confidential and/or legally 
  privileged.  </FONT><BR><FONT size=2>This information is intended only 
  for the use of the individual </FONT><BR><FONT size=2>or entity named on this 
  communication. If you are not the </FONT><BR><FONT size=2>intended recipient, 
  you are hereby notified that any disclosure, </FONT><BR><FONT size=2>copying, 
  distribution, printing or other use of, or any action </FONT><BR><FONT 
  size=2>in reliance on, the contents of this communication is strictly 
  </FONT><BR><FONT size=2>prohibited.  If you receive this communication in 
  error, please </FONT><BR><FONT size=2>immediately notify us by telephone at 
  (703) 631-6925. </FONT></P>
  <P><FONT 
  size=2>------------------------------------------------------------</FONT> 
  <BR><FONT size=2>Unsolicited commercial e-mail will automatically be 
  reported</FONT> <BR><FONT size=2>to the appropriate abuse@ - without 
  exception.</FONT> <BR><FONT 
  size=2>------------------------------------------------------------</FONT> 
</P></BLOCKQUOTE></BODY></HTML>