<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2654.45">
<TITLE>Snort behavior</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2 FACE="Arial">I have been conducting some regression tests on earlier releases of snort and have witnessed the erratic results with the syslog plugin.</FONT></P>

<P><FONT SIZE=2 FACE="Arial">With 1.8.7:</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">output alert_syslog:  LOG_LOCAL5</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">snort -i eth0 -T works just fine without errors</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">However, regardless of what is specified as the facility, the output ALWAYS goes to *.info, so perhaps a local5.info would be the appropriate entry in syslog.conf rather than local5.*  ???</FONT></P>

<P><FONT SIZE=2 FACE="Arial">With 1.9.0:</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">output alert_syslog: LOG_LOCAL5</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">snort -i eth0 -T does not work and generates an error about an unrecognized output plugin alert_syslog </FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">This build does not appear to work with the alert_syslog</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Workaround might be to use the -s instead ??</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">With 1.9.1:</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Same behavior as 1.9.0....does not work</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Arial">Results from 2.0 RC4:</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Arial">output alert_syslog: LOG_LOCAL5</FONT>
<BR><FONT SIZE=2 FACE="Arial">snort -i eth0 -T appears to work fine with no errors</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">same behavior with *.info, local5.info might be a better workaround in syslog.conf</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Arial">For those of you out there wishing to use syslog output and wish to forward those alerts over to another host.....don't forget that the centralized syslog repository needs to be configured to receive network syslogs (/etc/sysconfig/syslog needs the -r) and pretty certain that the sending host needs to be configured to forward syslogs (/etc/sysconfig/syslog needs the -h)</FONT></P>

<P><FONT SIZE=2 FACE="Arial">End of boring email......</FONT>
</P>
<BR>

</BODY>
</HTML>