<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: Mysql, log and portscan..</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Marco,  </FONT>
</P>

<P><FONT SIZE=2>A couple of things to consider:  </FONT>
</P>

<P><FONT SIZE=2>1) Your startup command line parameters '-A full' and '-b':  </FONT>
</P>

<P><FONT SIZE=2>>       daemon /usr/sbin/snort -A full -b -l /var/log/snort -d -D \</FONT>
<BR><FONT SIZE=2>>                -i $INTERFACE -c /etc/snort/snort.conf</FONT>
</P>

<P><FONT SIZE=2>will disable the various 'output ...' plugins you're using in the snort.conf file; I understand that this is by design.  </FONT></P>

<P><FONT SIZE=2>If you want to log to both MySQL and a text file in /var/log/snort, then drop the '-A full' and '-b' command line parameters and use the following 'output' plug-ins in your snort.conf file:  </FONT></P>

<P><FONT SIZE=2>  output alert_full: alert.full</FONT>
<BR><FONT SIZE=2>  output database: alert, mysql, user=myuser dbname=snort host=localhost password=mypass</FONT>
</P>

<P><FONT SIZE=2>The filename, alert.full, should be replaced with whatever filename you wish to use.  The alerts will be written in the default logging directory (/var/log/snort) or in the logging directory specified at the command line.  Inside the logging directory, a directory per IP will be created. These files will be decoded packet dumps of the packets that triggered the alerts. </FONT></P>

<P><FONT SIZE=2>You could also use:  </FONT>
</P>

<P><FONT SIZE=2>  output log_tcpdump: snort.log  </FONT>
</P>

<P><FONT SIZE=2>in place of the '-b' parameter.  The log_tcpdump module logs packets to a tcpdump-formatted file. This is useful for performing post process analysis on collected traffic with the vast number of tools that are avialable for examining tcpdump formatted files.  This module only takes a single argument, the name of the output file.   Note that the file name will have the "<month><date>@<time>-" prepended to the file name. This is so data from separate snort runs can be kept distinct.  </FONT></P>
<BR>

<P><FONT SIZE=2>Regards,</FONT>
</P>

<P><FONT SIZE=2>Christopher</FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>Message: 1</FONT>
<BR><FONT SIZE=2>From: "Marco A. mateos" <specka@...7977...></FONT>
<BR><FONT SIZE=2>To: Snort-Users <snort-users@lists.sourceforge.net></FONT>
<BR><FONT SIZE=2>Organization: SePecKa.CoM</FONT>
<BR><FONT SIZE=2>Date: 11 Jan 2003 21:20:36 +0100</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] Mysql, log and portscan..</FONT>
</P>
<BR>

<P><FONT SIZE=2>Hello, I'm a new user from snort 1.9.0 on redhat 7.2 (snort+snort+ACID)</FONT>
</P>

<P><FONT SIZE=2>I have a problem and don't see solution.</FONT>
</P>

<P><FONT SIZE=2>[...snip...]</FONT>
<BR><FONT SIZE=2>output alert_syslog: LOG_AUTH LOG_ALERT</FONT>
<BR><FONT SIZE=2>#output log_tcpdump: snort.log</FONT>
<BR><FONT SIZE=2>output database: alert, mysql, user=3Dmyuser dbname=3Dsnort host=3Dlocalhos=t</FONT>
<BR><FONT SIZE=2>password=3Dmypass</FONT>
</P>

<P><FONT SIZE=2>[...snip...]</FONT>
</P>

<P><FONT SIZE=2>#####################################################################</FONT>
<BR><FONT SIZE=2>        ### This line change activitie That write to log /var/log/snort/alert</FONT>
<BR>        <FONT SIZE=2>daemon /usr/sbin/snort -A full -b -l /var/log/snort -d -D \</FONT>
<BR>                <FONT SIZE=2> -i $INTERFACE -c /etc/snort/snort.conf</FONT>
<BR><FONT SIZE=2>#####################################################################</FONT>
<BR><FONT SIZE=2>        ## If delete -A full -b  Write to mysql database snort</FONT>
<BR><FONT SIZE=2>#####################################################################      =</FONT>
</P>

<P><FONT SIZE=2>[...snip...]</FONT>
</P>

<P><FONT SIZE=2>Neither it works.</FONT>
<BR><FONT SIZE=2>The logs goes to the text file, or to mysql.</FONT>
<BR><FONT SIZE=2>In any case I am able to see scan of ports, and for another tool I am</FONT>
<BR><FONT SIZE=2>certain that I have them (portsentry).</FONT>
</P>

<P><FONT SIZE=2>I like write log to alert and portscan also because I like send with</FONT>
<BR><FONT SIZE=2>extractor 4.0 to <A HREF="https://analyzer.securityfocus.com/.=20" TARGET="_blank">https://analyzer.securityfocus.com/.=20</A></FONT>
<BR><FONT SIZE=2>All to mysql database for see with ACID. All afternoon, work with this.=20</FONT>
</P>
<BR>

<P><FONT SIZE=2>Thanks for you help. My english it's bad.</FONT>
</P>
<BR>

<P><FONT SIZE=2>Marco A. Mateos - Linux User: 209189</FONT>
<BR><FONT SIZE=2>www.lomejordeinternet.net / specka.com</FONT>
<BR><FONT SIZE=2>graficas.lomejordeinternet.net - Portal de Artes Gr=C3=A1ficas</FONT>
<BR><FONT SIZE=2>hosting.lomejordeinternet.net - Hosting, housing y consultoria</FONT>
<BR><FONT SIZE=2>specka@...7978... / ICQ: 172542875</FONT>
<BR><FONT SIZE=2>Clave P=C3=BAblica disponible en pgp.rediris.es</FONT>
</P>

</BODY>
</HTML>