<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] Question about alerts and Windows environment</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Cannot do.  I've two sensors (1.8.6 and 1.8.7) under Win32.  The 1.8.6 sensor is on a dual-PIII server, which requires an older version of WinPCap -- the newer WinPCap drivers (those newer than 2.1 apparently) disable themselves when they detect an SMP environment.  </FONT></P>

<P><FONT SIZE=2>My 1.8.7 sensor could be upgrade to 1.9.0 (I've already tested it), but because both sensors log to a MySQL database, I'd have to implement a new Snort schema under MySQL as there were changes between the 1.8.7 database schema and the 1.9.0 database schema.  </FONT></P>

<P><FONT SIZE=2>Nice idea though. :) </FONT>
</P>

<P><FONT SIZE=2>Christopher </FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Gonzalez, Albert [<A HREF="mailto:albert.gonzalez@...7950...">mailto:albert.gonzalez@...7950...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Thursday, January 09, 2003 2:37 PM</FONT>
<BR><FONT SIZE=2>To: 'L. Christopher Luther'</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Question about alerts and Windows environment</FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential</FONT>
</P>
<BR>

<P><FONT SIZE=2>Why not upgrade your snort sensor to 1.9.0 ? It is stable enough to perform the upgrade. And the rule additions + the new keywords has some nice control issues. You might want to go ahead and update your sensor. I'm currently running snort 1.9.0 on OpenBSD 3.2. It's working like a charm.. using barnyard to parse my Unified logs... so give it a try</FONT></P>

<P><FONT SIZE=2>Cheers!</FONT>
</P>

<P><FONT SIZE=2>Alberto Gonzalez </FONT>
<BR><FONT SIZE=2>Intrusion Detection Systems - GSOC </FONT>
<BR><FONT SIZE=2>Security and Privacy Professional Services </FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: L. Christopher Luther [<A HREF="mailto:CLuther@...843.....6333...">mailto:CLuther@...6333...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Thursday, January 09, 2003 2:20 PM</FONT>
<BR><FONT SIZE=2>To: 'Mark Scott'</FONT>
<BR><FONT SIZE=2>Cc: Snort-Users (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Question about alerts and Windows environment</FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential</FONT>
</P>
<BR>

<P><FONT SIZE=2>I looked at the 1.8.6 source code, and it appears that '-I' parameter does properly format the interface name for output in syslog, "alert fast", and "alert full".  But of course, I've not actually tried to use this parameter.  </FONT></P>

<P><FONT SIZE=2>I did notice that when both of my sensors start up, the text "Initializing Network Interface \" is displayed, which comes from the source:  </FONT></P>

<P><FONT SIZE=2>    LogMessage("\nInitializing Network Interface %s\n", pv.interfaces[num]); </FONT>
</P>

<P><FONT SIZE=2>in OpenPCap() function (snort.c).  But further on in my Snort startup output, the text "Decoding Ethernet on interface \Device\Packet_{C4F961EB-4DD5-47F8-98E2-5FDE544E8621}" is displayed, which comes from the source:  </FONT></P>

<P><FONT SIZE=2>    LogMessage("Decoding Ethernet on interface %s\n", PRINT_INTERFACE(pv.interfaces[num])); </FONT>
</P>

<P><FONT SIZE=2>In the SetPktProcessor() function (snort.c).  It may be that the "Initializing ..." message needs the PRINT_INTERFACE macro placed on it.  </FONT></P>

<P><FONT SIZE=2>When I get a chance I'll play w/ the source code to see what happens.  </FONT>
</P>

<P><FONT SIZE=2>- Christopher </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message----- </FONT>
<BR><FONT SIZE=2>From: Mark Scott [<A HREF="mailto:mscott@...655...">mailto:mscott@...655...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Thursday, January 09, 2003 1:23 PM </FONT>
<BR><FONT SIZE=2>To: 'L. Christopher Luther' </FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Question about alerts and Windows environment </FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential </FONT>
</P>
<BR>

<P><FONT SIZE=2>Thanks... </FONT>
</P>

<P><FONT SIZE=2>Can you get the -I (uppercase i) to display the interface name. I have it turned on but it logs nothing but a '/' in this field.</FONT></P>

<P><FONT SIZE=2>Mark </FONT>
</P>

<P><FONT SIZE=2>[snip ...]</FONT>
</P>

</BODY>
</HTML>