<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>RE: [Snort-users] Snort Syslog Alerts on Win32</TITLE>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1126" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial color=#0000ff size=2></FONT> </DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR></FONT></DIV>
  <P><FONT size=2>And the reason I don't use the alert/log command line 
  parameters (e.g., "-A fast") is because it is my understanding and experience 
  that these override the alert/log output plug-ins specified in 
  snort.conf.   </FONT></P>
  <P><FONT size=2>-----Original Message-----</FONT> <BR></P>
  <BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
    <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
    size=2>-----Original Message-----<BR></FONT></DIV>
    <P><FONT size=2>And the reason I don't use the alert/log command line 
    parameters (e.g., "-A fast") is because it is my understanding and 
    experience that these override the alert/log output plug-ins specified in 
    snort.conf.   </FONT></P>
    <P><FONT size=2>-----Original Message-----</FONT> <BR><SPAN 
    class=565251409-05012003><FONT face=Arial color=#0000ff size=2>on win32 
    the ONLY way to do syslog, is to do it ON the command line, 
    if you have alerts or tcpdump in the snort.conf, they will still work, 
    syslog cannot be done on win32 in the snort.conf, well, unless things have 
    seriously changed alot. personally, i do tcpdump, and remote syslogging, 
    then if i need to look at something specific in the alerts, i just do an 
    extraction from the tcpdump file, there never was anyone that could get it 
    to do syslog from within the snort.conf on win32, oh, i am speaking of 
    versions prior to 1.9, i'm not sure on any version 1.9 or more recent. come 
    to think of it, i may do the </FONT></SPAN></P>
    <P><SPAN class=565251409-05012003><FONT face=Arial color=#0000ff size=2>i 
    run it as a service as well, in this format </FONT></SPAN></P>
    <P><SPAN class=565251409-05012003><FONT face=Arial color=#0000ff 
    size=2>snort -c c:\snort\snort.conf -s ip.add.re.ss:514 -o</FONT></SPAN></P>
    <P><SPAN class=565251409-05012003><FONT face=Arial color=#0000ff size=2>i do 
    have the following in the snort.conf</FONT></SPAN></P><SPAN 
    class=565251409-05012003>
    <P><FONT size=2>output log_tcpdump: snort.log</FONT></P></SPAN>
    <P><SPAN class=565251409-05012003><FONT face=Arial><FONT color=#0000ff><FONT 
    size=2>all works well for what i need out of it.<SPAN 
    class=699562509-05012003> your right as far as command line overriding other 
    options in the .conf file, yet for this it doesnt, at least not for my 
    usages which is only tcpdump.  </SPAN><SPAN 
    class=699562509-05012003> </SPAN></FONT></FONT></FONT></SPAN></P>
    <P><SPAN class=565251409-05012003><FONT face=Arial color=#0000ff 
    size=2>Don</FONT></SPAN></P>
    <P><SPAN class=565251409-05012003><FONT face=Arial color=#0000ff 
    size=2></FONT></SPAN> </P></BLOCKQUOTE></BLOCKQUOTE></BODY></HTML>