<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] Question about alerts and Windows environment</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>I looked at the 1.8.6 source code, and it appears that '-I' parameter does properly format the interface name for output in syslog, "alert fast", and "alert full".  But of course, I've not actually tried to use this parameter.  </FONT></P>

<P><FONT SIZE=2>I did notice that when both of my sensors start up, the text "Initializing Network Interface \" is displayed, which comes from the source:  </FONT></P>

<P><FONT SIZE=2>    LogMessage("\nInitializing Network Interface %s\n", pv.interfaces[num]);</FONT>
</P>

<P><FONT SIZE=2>in OpenPCap() function (snort.c).  But further on in my Snort startup output, the text "Decoding Ethernet on interface \Device\Packet_{C4F961EB-4DD5-47F8-98E2-5FDE544E8621}" is displayed, which comes from the source:  </FONT></P>

<P><FONT SIZE=2>    LogMessage("Decoding Ethernet on interface %s\n", PRINT_INTERFACE(pv.interfaces[num]));</FONT>
</P>

<P><FONT SIZE=2>In the SetPktProcessor() function (snort.c).  It may be that the "Initializing ..." message needs the PRINT_INTERFACE macro placed on it.  </FONT></P>

<P><FONT SIZE=2>When I get a chance I'll play w/ the source code to see what happens.  </FONT>
</P>

<P><FONT SIZE=2>- Christopher </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Mark Scott [<A HREF="mailto:mscott@...655...">mailto:mscott@...655...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Thursday, January 09, 2003 1:23 PM</FONT>
<BR><FONT SIZE=2>To: 'L. Christopher Luther'</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Question about alerts and Windows environment</FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential</FONT>
</P>
<BR>

<P><FONT SIZE=2>Thanks...</FONT>
</P>

<P><FONT SIZE=2>Can you get the -I (uppercase i) to display the interface name. I have it turned on but it logs nothing but a '/' in this field.</FONT></P>

<P><FONT SIZE=2>Mark</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: L. Christopher Luther [<A HREF="mailto:CLuther@...843.....6333...">mailto:CLuther@...6333...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Thursday, January 09, 2003 12:16 PM</FONT>
<BR><FONT SIZE=2>To: 'Don Weber'</FONT>
<BR><FONT SIZE=2>Cc: 'Mark Scott'; Snort-Users (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Question about alerts and Windows environment</FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential</FONT>
</P>
<BR>

<P><FONT SIZE=2>I just tweaked the snort.c file so that the '-s ipaddress' command line parameter would not disable any output plugins specified in the snort.conf file.  I now use *both* the '-s ipaddress' command line parameter and 'output alert_syslog: ...' option in snort.conf, and now Snort is properly sending syslog alerts to my syslog daemon on another Win32 server.  </FONT></P>

<P><FONT SIZE=2>Christopher </FONT>
</P>

<P><FONT SIZE=2>(BTW, I'm currently using Kiwi's syslog daemon service, but may switch to 3COM's syslog daemon service) </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message----- </FONT>
<BR><FONT SIZE=2>From: Don Weber [<A HREF="mailto:Don@...5881...">mailto:Don@...5881...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Thursday, January 09, 2003 1:07 PM </FONT>
<BR><FONT SIZE=2>To: L. Christopher Luther; 'Mark Scott' </FONT>
<BR><FONT SIZE=2>Cc: Snort-Users (E-mail) </FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Question about alerts and Windows environment </FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential </FONT>
</P>
<BR>

<P><FONT SIZE=2>well there is backlog, that forwards windows event logs to a remote or local syslog server, get that at kiwi i think, windows event log generates lots of entires in the syslog tho.</FONT></P>

<P><FONT SIZE=2>-----Original Message----- </FONT>
<BR><FONT SIZE=2>From: snort-users-admin@lists.sourceforge.net [<A HREF="mailto:snort-users-admin@lists.sourceforge.net">mailto:snort-users-admin@lists.sourceforge.net</A>]On Behalf Of L. Christopher Luther</FONT></P>

<P><FONT SIZE=2>Sent: Wednesday, January 08, 2003 10:27 AM </FONT>
<BR><FONT SIZE=2>To: 'Mark Scott' </FONT>
<BR><FONT SIZE=2>Cc: Snort-Users (E-mail) </FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Question about alerts and Windows environment </FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential </FONT>
</P>
<BR>

<P><FONT SIZE=2>At least with both Snort 1.8.6 and 1.8.7 for Win32, the '-A' option does work (at least w/ the binaries I obtained from the snort.org web site).  </FONT></P>

<P><FONT SIZE=2>When I first started using Snort, I used only the "-A fast" or "-A full" command line parameters to generate alert information to the alert.ids file in my log directory.  The command line was something like:  </FONT></P>

<P><FONT SIZE=2>    snort.exe -c "D:\BIN\Snort\snort.conf" -l "D:\BIN\Snort\log" -A fast -h 10.0.1.0/24 -i 1 -y </FONT>
</P>

<P><FONT SIZE=2>I also use IDScenter to monitor the alert.ids file and generate e-mail messages when alerts occur.  </FONT>
<BR><FONT SIZE=2>I've recently switched to using MySQL as the repository for the Snort log information.  My command line is now like:  </FONT>
</P>

<P><FONT SIZE=2>    snort.exe -c "D:\BIN\Snort\snort.conf" -l "D:\BIN\Snort\log" -h 10.0.1.0/24 -i 1 -y  </FONT>
</P>

<P><FONT SIZE=2>That is, no more '-A fast', and my snort.conf file now also has three output plugins:  </FONT>
</P>

<P><FONT SIZE=2>    output alert_fast: alert.ids  </FONT>
<BR><FONT SIZE=2>    output alert_syslog: LOG_AUTHPRIV LOG_ALERT  </FONT>
<BR><FONT SIZE=2>    output database: log, mysql,  [snip]  </FONT>
</P>

<P><FONT SIZE=2>I still get the alert information logged to alert.ids (for use by IDScenter), and I also noticed that, at least with Snort 1.8.6 for Win32, the "alert_syslog" plugin generates output to my local Application Event Log.  </FONT></P>
<BR>

<P><FONT SIZE=2>Hope this helps,  </FONT>
</P>

<P><FONT SIZE=2>Christopher </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message----- </FONT>
<BR><FONT SIZE=2>From: Mark Scott [<A HREF="mailto:mscott@...655...">mailto:mscott@...655...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Tuesday, January 07, 2003 9:29 PM </FONT>
<BR><FONT SIZE=2>To: 'L. Christopher Luther' </FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Question about alerts and Windows environment </FONT>
</P>
<BR>

<P><FONT SIZE=2>Hi Christopher, </FONT>
</P>

<P><FONT SIZE=2>Thanks for the reply, my understanding is that with the Win32 port of snort the -A option does not work. I did try that and to no avail.</FONT></P>

<P><FONT SIZE=2>Mark </FONT>
<BR><FONT SIZE=2>-----Original Message----- </FONT>
<BR><FONT SIZE=2>From: snort-users-admin@lists.sourceforge.net [<A HREF="mailto:snort-users-admin@lists.sourceforge.net">mailto:snort-users-admin@lists.sourceforge.net</A>] On Behalf Of L. Christopher Luther</FONT></P>

<P><FONT SIZE=2>Sent: Tuesday, January 07, 2003 1:45 PM </FONT>
<BR><FONT SIZE=2>To: 'Mark Scott' </FONT>
<BR><FONT SIZE=2>Cc: 'snort-users@lists.sourceforge.net' </FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Question about alerts and Windows environment </FONT>
</P>
<BR>

<P><FONT SIZE=2>Mark,  </FONT>
</P>

<P><FONT SIZE=2>Are you using an alert output plugin in the snort.conf file?  If so, then yes, '-E' will disable this alert output.  </FONT>
</P>

<P><FONT SIZE=2>Instead, specify an alert output via the command line (e.g., '-A fast', '-A full', etc.) or, as I just found out (the hard way), the 'output alert_syslog ...' plug-in under Win32 (at least for Snort 1.8.6) sends its output to the Application Event log.  You could always try this and drop the '-E' command line parameter.  </FONT></P>

<P><FONT SIZE=2>Christopher </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message----- </FONT>
<BR><FONT SIZE=2>Date: Mon,  6 Jan 2003 09:34:37 -0600 </FONT>
<BR><FONT SIZE=2>From: "Mark  Scott" <Mark.Scott@...7935......> </FONT>
<BR><FONT SIZE=2>Reply-To: <Mark.Scott@...655...> </FONT>
<BR><FONT SIZE=2>To: <snort-users@...314...> </FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] Question about alerts and Windows environment </FONT>
</P>

<P><FONT SIZE=2>Hi, </FONT>
</P>

<P><FONT SIZE=2>I am testing Snort on Windows XP and would like to be able to log alerts to the alerts file in my log directory and also in my Windows event log. Is it possible to do this? I am using the snort command line '-E' which sends it to the event log, but it stops loggin to the alert file.</FONT></P>

<P><FONT SIZE=2>Thanks for any insight, </FONT>
</P>

<P><FONT SIZE=2>Mark </FONT>
</P>

</BODY>
</HTML>