<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Fwd: RE: [Snort-users] Log to remote syslog server and MySql  Database]</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>I searched the list archives last night (or was that early this morning) and found the thread between Michael Steele and others concerning syslog and Win32; I also found your posts and the patches.  </FONT></P>

<P><FONT SIZE=2>Unfortunately, my particular Snort WinNT4 box is running WinPCap 2.02 and Snort 1.8.6.  The box is a dual Pentium III and all versions of WinPCap newer than 2.02 disable themselves when they detect an SMP environment.  Also, all versions of Snort newer than 1.8.6 require a WinPCap driver that is newer than 2.02.  There is a FAQ in the WinPCap site about SMP support, but today at least, the site appears to be down.  Hopefully not for good... </FONT></P>

<P><FONT SIZE=2>Since I don't want to disable one of the processors on my WinNT4 box, I'm kinda "stuck" w/ Snort 1.8.6, at least until WinPCap officially supports SMP environments.  </FONT></P>

<P><FONT SIZE=2>Thanks anyway for the e-mails and other attachments!  </FONT>
</P>

<P><FONT SIZE=2>- Christopher </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Frank Knobbe [<A HREF="mailto:fknobbe@...652...">mailto:fknobbe@...652...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Sunday, January 05, 2003 1:12 AM</FONT>
<BR><FONT SIZE=2>To: CLuther@...6333...</FONT>
<BR><FONT SIZE=2>Subject: [Fwd: RE: [Snort-users] Log to remote syslog server and MySql</FONT>
<BR><FONT SIZE=2>Database]</FONT>
</P>
<BR>

<P><FONT SIZE=2>Christopher,</FONT>
</P>

<P><FONT SIZE=2>looky here. I found an old email with the patches. I also have an old</FONT>
<BR><FONT SIZE=2>Snort 1.8.7 Win32 with mySQL executable with the syslog patch built in,</FONT>
<BR><FONT SIZE=2>in case you want that as well. The patches may or may not work anymore</FONT>
<BR><FONT SIZE=2>since they are half a year old. You can always hack the source yourself.</FONT>
<BR><FONT SIZE=2>Just remove the pv.cmd_verride=1 line in the case section for -s.</FONT>
</P>
<BR>

<P><FONT SIZE=2>Regards,</FONT>
<BR><FONT SIZE=2>Frank</FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-----Forwarded Message-----</FONT>
</P>

<P><FONT SIZE=2>From: Frank Knobbe <fknobbe@...652...></FONT>
<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Cc: snort-devel@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Log to remote syslog server and MySql  Database</FONT>
<BR><FONT SIZE=2>Date: 19 Sep 2002 17:32:43 -0500</FONT>
</P>

<P><FONT SIZE=2>On Sun, 2002-09-15 at 19:57, Michael Steele wrote:</FONT>
<BR><FONT SIZE=2>> Frank,</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> I'm all for that! Make it so.</FONT>
<BR><FONT SIZE=2>> -----Original Message-----</FONT>
<BR><FONT SIZE=2>> From: Frank Knobbe [<A HREF="mailto:fknobbe@...7905...2...">mailto:fknobbe@...652...</A>] </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> *sigh*.... that issue again.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> I'd like to make a motion to change the Snort Win32 section in snort.c</FONT>
<BR><FONT SIZE=2>> so that -s does not override the conf file (Win32 only). Otherwise we'll</FONT>
<BR><FONT SIZE=2>> continue to see requests for Win32 recompiles for this matter.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Anyone for that change?</FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>Okay, here are two patches for snort and snort_1_8 that cause snort not</FONT>
<BR><FONT SIZE=2>to override the command line when -s is specified. That allows users to</FONT>
<BR><FONT SIZE=2>use -s in the command line while still using the other configs from</FONT>
<BR><FONT SIZE=2>snort.conf, which will allow Windows users to log to remote syslog</FONT>
<BR><FONT SIZE=2>servers.</FONT>
</P>

<P><FONT SIZE=2>Please commit to CVS.</FONT>
</P>

<P><FONT SIZE=2>Thanks,</FONT>
<BR><FONT SIZE=2>Frank</FONT>
</P>
<BR>

</BODY>
</HTML>