<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] You caught them, what next?</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>The issue, for me at least, it not *which* TZ Snort or my web server log their data but whether the logs show the TZ information.  I've not looked at Snort's '-U' parameter, but unless the output includes 'TZ=xxx' information it's a moot point.  </FONT></P>
<BR>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Jason Haar [<A HREF="mailto:Jason.Haar@...294...">mailto:Jason.Haar@...294...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Wednesday, April 02, 2003 8:58 PM</FONT>
<BR><FONT SIZE=2>To: Snort-Users (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: Re: [Snort-users] You caught them, what next?</FONT>
</P>
<BR>

<P><FONT SIZE=2>On Wed, Apr 02, 2003 at 05:41:42PM -0500, Brei, Matt wrote:</FONT>
<BR><FONT SIZE=2>> How do you set Snort to GMT?</FONT>
</P>

<P><FONT SIZE=2>Have you looked at the output of "snort -h"?</FONT>
</P>

<P><FONT SIZE=2>        -U         Use UTC for timestamps</FONT>
</P>
<BR>

<P><FONT SIZE=2>Ta Da!</FONT>
</P>
<BR>

<P><FONT SIZE=2>...unless your question is "how do I set syslog to GMT?". In which case</FONT>
<BR><FONT SIZE=2>either run syslog-ng (my choice) as it allows you to format the hell out of</FONT>
<BR><FONT SIZE=2>your syslog records, or just set your IDS clock to UTC and make sure it's</FONT>
<BR><FONT SIZE=2>got NTP running.</FONT>
</P>

<P><FONT SIZE=2>-- </FONT>
<BR><FONT SIZE=2>Cheers</FONT>
</P>

<P><FONT SIZE=2>Jason Haar</FONT>
<BR><FONT SIZE=2>Information Security Manager, Trimble Navigation Ltd.</FONT>
<BR><FONT SIZE=2>Phone: +64 3 9635 377 Fax: +64 3 9635 417</FONT>
<BR><FONT SIZE=2>PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1</FONT>
</P>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.net email is sponsored by: ValueWeb: </FONT>
<BR><FONT SIZE=2>Dedicated Hosting for just $79/mo with 500 GB of bandwidth! </FONT>
<BR><FONT SIZE=2>No other company gives more support or power for your dedicated server</FONT>
<BR><FONT SIZE=2><A HREF="http://click.atdmt.com/AFF/go/sdnxxaff00300020aff/direct/01/" TARGET="_blank">http://click.atdmt.com/AFF/go/sdnxxaff00300020aff/direct/01/</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>