<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] Snort Syslog Alerts on Win32</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Up front, everyone, please forgive the rant I'm about to do...  </FONT>
</P>

<P><FONT SIZE=2>Since I did not see an immediate way for Snort to send syslog alerts to a remote syslog daemon, I went so far as to install a local syslog daemon on my WinNT4 Snort box just so I could "see" what type of data was being sent to syslog from Snort.  I figured that if the Snort syslog output was sufficient for my needs, I'd configure the local syslog daemon to forward all messages to my main syslog server.  </FONT></P>

<P><FONT SIZE=2>Well, much to my surprise, Snort did not send *any* data to the local syslog daemon.  So, I snatched the Snort 1.8.6 tar ball archive from the Snort web site and looked at the source.  Who would have thought that the alert_syslog functionality under Win32 would be sending data to the local Event Log!!!  </FONT></P>

<P><FONT SIZE=2>Evidently, somewhere along the Snort development line, decisions were made to have Snort's alert_syslog functionality under Win32 send messages to the Event Log.  Why?!  Who knows.  I figured that syslog meant syslog.  If someone wanted Event Log functionality, then there would be an alert_eventlog output plug-in.  Arghhhhh.... </FONT></P>

<P><FONT SIZE=2>I run a mixed Wintel/*nix environment and having a syslog daemon around isn't an issue.  The issue now is that Snort under Win32 does *not* send data to a syslog daemon -- either local or remote -- but only to the local Event Log.  </FONT></P>

<P><FONT SIZE=2>Enough of my rant.  I've got Win32 code around that shows how to send messages to a syslog daemon, and the daemon does not have to be local; it can be remote.  But I don't want to be in the business of modifying the Snort source code every time a new Snort version is released.  Oh well...  </FONT></P>

<P><FONT SIZE=2>I guess that I'm off to pursue other means for handling/logging Snort alerts under Win32.  </FONT>
</P>

<P><FONT SIZE=2>Regards...  </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Bob McDowell [<A HREF="mailto:bmcdowell@...7895.....">mailto:bmcdowell@...7861...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Friday, January 03, 2003 6:44 PM</FONT>
<BR><FONT SIZE=2>To: 'L. Christopher Luther'</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Snort Syslog Alerts on Win32</FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential</FONT>
</P>
<BR>

<P><FONT SIZE=2>Do you mean that Snort sends those syslog messages directly?  That's kinda cool.  I was under the impression that you have to get some sort of syslog client and put it on the snort box.  In Linux, syslog reads syslog.conf, and you can specify what alerts go where.  Snort passes its alerts into syslog for processing.  If you were to get something like Monilog, you could transmit the snort log files themselves via SETP or syslog, for example.</FONT></P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: L. Christopher Luther [<A HREF="mailto:CLuther@...843.....6333...">mailto:CLuther@...6333...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Friday, January 03, 2003 5:29 PM</FONT>
<BR><FONT SIZE=2>To: 'bmcdowell@...7861...'</FONT>
<BR><FONT SIZE=2>Cc: Snort-Users (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Snort Syslog Alerts on Win32</FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential</FONT>
</P>
<BR>

<P><FONT SIZE=2>Unfortunately, there is no syslog daemon on the WinNT4 Snort box -- only on the other server.  :{  I was hoping that like Cisco and other network devices I could direct the syslog messages from Snort to another server.  </FONT></P>

<P><FONT SIZE=2>Christopher </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message----- </FONT>
<BR><FONT SIZE=2>From: Bob McDowell [<A HREF="mailto:bmcdowell@...7895.....">mailto:bmcdowell@...7861...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Friday, January 03, 2003 6:27 PM </FONT>
<BR><FONT SIZE=2>To: 'L. Christopher Luther' </FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Snort Syslog Alerts on Win32 </FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential </FONT>
</P>
<BR>

<P><FONT SIZE=2>I think you'd need to do this in your syslog daemon.  You can make it easy on yourself by making snort log to 'Local1' if you'd like.</FONT></P>
<BR>

<P><FONT SIZE=2>-----Original Message----- </FONT>
<BR><FONT SIZE=2>From: L. Christopher Luther [<A HREF="mailto:cluther@...843.....6331...">mailto:cluther@...6331...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Friday, January 03, 2003 5:02 PM </FONT>
<BR><FONT SIZE=2>To: Snort-Users (E-mail) </FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] Snort Syslog Alerts on Win32 </FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----BEGIN PGP SIGNED MESSAGE----- </FONT>
<BR><FONT SIZE=2>Hash: SHA1 </FONT>
</P>

<P><FONT SIZE=2>I would like to configure Snort (version 1.8.6 running on a WinNT4 </FONT>
<BR><FONT SIZE=2>box) to send Snort alerts to a syslog server on another WinNT4 box. </FONT>
<BR><FONT SIZE=2>The "output alert_syslog" is pretty straight forward, accept I am not </FONT>
<BR><FONT SIZE=2>sure of how to direct output this to another host???  The docs I have </FONT>
<BR><FONT SIZE=2>do not specify any "host=" option.  </FONT>
</P>
<BR>

<P><FONT SIZE=2>Sincerely,  </FONT>
<BR><FONT SIZE=2>L. Christopher Luther  </FONT>
<BR><FONT SIZE=2>Technical Consultant  </FONT>
<BR><FONT SIZE=2>Xybernaut Solutions, Inc.  </FONT>
<BR><FONT SIZE=2>(703) 654-3642  </FONT>
<BR><FONT SIZE=2>cluther@...6331...  </FONT>
<BR><FONT SIZE=2><A HREF="http://www.xybernautsolutions.com" TARGET="_blank">http://www.xybernautsolutions.com</A>  </FONT>
</P>

<P><FONT SIZE=2>My PGP Public Key:  </FONT>
<BR><FONT SIZE=2><A HREF="http://keyserver.pgp.com/pks/lookup?op=get&search=0x21261B88" TARGET="_blank">http://keyserver.pgp.com/pks/lookup?op=get&search=0x21261B88</A> </FONT>
</P>

<P><FONT SIZE=2>CONFIDENTIALITY NOTE:  This communication contains </FONT>
<BR><FONT SIZE=2>information that is confidential and/or legally privileged.  </FONT>
<BR><FONT SIZE=2>This information is intended only for the use of the individual </FONT>
<BR><FONT SIZE=2>or entity named on this communication. If you are not the </FONT>
<BR><FONT SIZE=2>intended recipient, you are hereby notified that any disclosure, </FONT>
<BR><FONT SIZE=2>copying, distribution, printing or other use of, or any action </FONT>
<BR><FONT SIZE=2>in reliance on, the contents of this communication is strictly </FONT>
<BR><FONT SIZE=2>prohibited.  If you receive this communication in error, please </FONT>
<BR><FONT SIZE=2>immediately notify us by telephone at (703) 631-6925. </FONT>
</P>

<P><FONT SIZE=2>============================================================ </FONT>
<BR><FONT SIZE=2>Unsolicited commercial e-mail will automatically be reported </FONT>
<BR><FONT SIZE=2>to the appropriate abuse@ - without exception. </FONT>
<BR><FONT SIZE=2>============================================================ </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----BEGIN PGP SIGNATURE----- </FONT>
<BR><FONT SIZE=2>Version: PGP 7.1.2 </FONT>
<BR><FONT SIZE=2>iQA/AwUBPhYWg6u/XM0hJhuIEQJp9QCg8SFUXSb7yrpOG0Rv+gLvRlpn4gkAnj8H </FONT>
<BR><FONT SIZE=2>la4Z8Pko+5h79KaeMlghIOMX </FONT>
<BR><FONT SIZE=2>=1T7j </FONT>
<BR><FONT SIZE=2>-----END PGP SIGNATURE----- </FONT>
</P>

</BODY>
</HTML>