<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] Help with a config file please?</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Either send Snort log data to MySQL or alert data to MySQL but not both [0].  </FONT>
</P>

<P><FONT SIZE=2>Q: Have you run Snort in its sniffer mode (e.g., snort -i1 -v) to see if the traffic from your scans and 'attacks' are even being seen by Snort?  </FONT></P>

<P><FONT SIZE=2>Q: Have you looked directly into the MySQL database to see if the Snort DB event table actually has any data in it?  </FONT>
</P>

<P><FONT SIZE=2>I'm not an ACID popper ;) so I cannot help you much w/ why ACID does not see any alerts, but from previous posts to this list, I can safely say that it's often best to rollback your config to something simpler, say alerting to a text file, while trying to diagnose Snort problems.  </FONT></P>

<P><FONT SIZE=2>- Christopher </FONT>
</P>

<P><FONT SIZE=2>[0] - <A HREF="http://www.theadamsfamily.net/~erek/snort/logging_methods.txt" TARGET="_blank">http://www.theadamsfamily.net/~erek/snort/logging_methods.txt</A></FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: snort@...8664... [<A HREF="mailto:snort@...8787.....">mailto:snort@...8664...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Friday, April 04, 2003 3:49 PM</FONT>
<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Help with a config file please?</FONT>
</P>
<BR>

<P><FONT SIZE=2>Christopher,</FONT>
</P>

<P><FONT SIZE=2>Thanks for the info. I went ahead and changed those things (added Alert to</FONT>
<BR><FONT SIZE=2>the list and enables portscan and portscan2 but I am still seeing no</FONT>
<BR><FONT SIZE=2>alerts come up. I have all logging going to the same mysql db, and I use</FONT>
<BR><FONT SIZE=2>adodb & ACID to run the reports.</FONT>
<BR><FONT SIZE=2>I send nmap scans from one of my linux boxes w/ the following parameters</FONT>
</P>

<P><FONT SIZE=2>nmap -sS -O -P0 -v 1.2.3.4</FONT>
</P>

<P><FONT SIZE=2>nmap gets all the ports that the system has open just fine and it finger</FONT>
<BR><FONT SIZE=2>prints the OS perfectly (Win XP Pro RC1 or later) but the system Acid</FONT>
<BR><FONT SIZE=2>console shows nothing still. I used www.auditmypc.com to run a similar</FONT>
<BR><FONT SIZE=2>scan and no alerts show, ditto w/ grc.com.</FONT>
</P>

<P><FONT SIZE=2>now just as info I have 2 lines in the conf file for the logging one that</FONT>
<BR><FONT SIZE=2>sends log to mysql and another that sends alert to the same mysql db. Is</FONT>
<BR><FONT SIZE=2>that permissible or do I have to stick to a single line?</FONT>
</P>

<P><FONT SIZE=2>Carlos</FONT>
</P>
<BR>

<P><FONT SIZE=2>> I'm sure someone else already answered this, but here is my two cents:</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> 1)  You do not specify an alert facility in your snort.conf.  So unless</FONT>
<BR><FONT SIZE=2>> you</FONT>
<BR><FONT SIZE=2>> have something that reads your MySQL database looking for new log events,</FONT>
<BR><FONT SIZE=2>> you'll never get an alert.</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> 2)  You have not enabled neither the portscan nor the portscan2</FONT>
<BR><FONT SIZE=2>> preprocessor.  My understanding (I could be wrong) is that without either</FONT>
<BR><FONT SIZE=2>> of</FONT>
<BR><FONT SIZE=2>> these, Snort will not catch NMAP sweeps of your network.</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> 3)  As a FYI:  Port scans are logged to the alert facility not the log</FONT>
<BR><FONT SIZE=2>> facility in Snort.  So you're back to item #1.</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> Cheers!</FONT>
</P>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.net email is sponsored by: ValueWeb: </FONT>
<BR><FONT SIZE=2>Dedicated Hosting for just $79/mo with 500 GB of bandwidth! </FONT>
<BR><FONT SIZE=2>No other company gives more support or power for your dedicated server</FONT>
<BR><FONT SIZE=2><A HREF="http://click.atdmt.com/AFF/go/sdnxxaff00300020aff/direct/01/" TARGET="_blank">http://click.atdmt.com/AFF/go/sdnxxaff00300020aff/direct/01/</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>