<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=utf-8">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] Dual Alerts ?</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>In earlier Win32 versions of Snort (prior to 2.0 rc3 or so?!), the '-s' parameter (at least in Win32) was somewhat busted, but I understand that it's been fixed.  I also seem to remember posts on this list about '-s' being busted in non-Win32 platforms, but again, I think it's now fixed.  </FONT></P>

<P><FONT SIZE=2>As a FYI:  I patched my 1.8.7 and 1.9.0 versions so that '-s' didn't override the output plugin statements in snort.conf.  </FONT></P>

<P><FONT SIZE=2>So, are you still getting duplicate (dual) alerts in ACID and syslog or is everything straight now?  </FONT>
</P>

<P><FONT SIZE=2>- Christopher </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: David Markle [<A HREF="mailto:davidmarkle@...8877...8...">mailto:davidmarkle@...5068...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Monday, April 14, 2003 6:57 PM</FONT>
<BR><FONT SIZE=2>To: L. Christopher Luther</FONT>
<BR><FONT SIZE=2>Cc: Snort-Users (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Dual Alerts ?</FONT>
</P>
<BR>

<P><FONT SIZE=2>I was under the impression that the command line argument for syslog overrides the snort.conf file settings, therefore strayed from that approach.  Although working you your suggestion, I (had) the following:</FONT></P>

<P><FONT SIZE=2>output alert_syslog: LOG_local1 LOG_ALERT</FONT>
<BR><FONT SIZE=2>output database: alert, mysql, user=root password=mypwd dbname=snort host=localhost </FONT>
</P>

<P><FONT SIZE=2>In my local syslog.conf, I have remote logging to another host from the local1 facility.  I bit convoluted, but functional.</FONT></P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: L. Christopher Luther [<A HREF="mailto:CLuther@...843.....6333...">mailto:CLuther@...6333...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Monday, April 14, 2003 1:37 PM</FONT>
<BR><FONT SIZE=2>To: 'davidmarkle@...5068...'</FONT>
<BR><FONT SIZE=2>Cc: Snort-Users (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Dual Alerts ?</FONT>
</P>
<BR>

<P><FONT SIZE=2>Hi, David.  </FONT>
</P>

<P><FONT SIZE=2>I run two Snort sensors in a Win32 environment.  Both sensors "log" to MySQL and also alert to two separate end-points:  syslog and a text file.  My output statements in snort.conf look like:  </FONT></P>

<P><FONT SIZE=2>  output alert_fast: alert.ids </FONT>
<BR><FONT SIZE=2>  output database: log, mysql, host=somehost port=3306 dbname=snortdb user=snort </FONT>
<BR><FONT SIZE=2>                   password=somepassword sensor_name=sensor1 encoding=hex detail=Full </FONT>
<BR><FONT SIZE=2>  output alert_syslog: LOG_AUTHPRIV LOG_ALERT </FONT>
</P>

<P><FONT SIZE=2>My syslog server is a remote server, and I specify the address of that server using the '-s ipaddr:514' command line parameter for Snort.  </FONT></P>

<P><FONT SIZE=2>I get no duplicate alerts.  So what are the exact output statements you're using in snort.conf, and what is the command line you're using to start Snort?  </FONT></P>

<P><FONT SIZE=2>- Christopher </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message----- </FONT>
<BR><FONT SIZE=2>From: David Markle [<A HREF="mailto:davidmarkle@...8877...8...">mailto:davidmarkle@...5068...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Sunday, April 13, 2003 9:44 PM </FONT>
<BR><FONT SIZE=2>To: snort-users </FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] Dual Alerts ? </FONT>
</P>
<BR>

<P><FONT SIZE=2>I would really like to have TWO working OUTPUT PLUGINS: (Databases and Syslog).  From what I have determined, two Syslog FACILITIES are used (auth.notice and daemon.notice).  The auth.notice (which is configurable in the snort.conf) is used for alerts and daemon.notice is used for snort start/stop etc.  </FONT></P>

<P><FONT SIZE=2>Both output plugins are important because I want Syslog to a remote host and the database output plug for ACID.  The problem is, I'm getting dual alerts in both ACID and Syslog and do not know why, (other than two output plug entries in the .conf file - duh).  Can't the output plugs fork the data independently ?  Is this a limitation of the product or my knowledge ??</FONT></P>

<P><FONT SIZE=2>Thanks in advance. </FONT>
</P>

<P><FONT SIZE=2>David Markle </FONT>
</P>
<BR>
<BR>
<BR>

<P><FONT SIZE=2>------------------------------------------------------- </FONT>
<BR><FONT SIZE=2>This SF.net email is sponsored by: Etnus, makers of TotalView, The debugger </FONT>
<BR><FONT SIZE=2>for complex code. Debugging C/C++ programs can leave you feeling lost and </FONT>
<BR><FONT SIZE=2>disoriented. TotalView can help you find your way. Available on major UNIX </FONT>
<BR><FONT SIZE=2>and Linux platforms. Try it free. www.etnus.com </FONT>
<BR><FONT SIZE=2>_______________________________________________ </FONT>
<BR><FONT SIZE=2>Snort-users mailing list </FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net </FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe: </FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A> </FONT>
<BR><FONT SIZE=2>Snort-users list archive: </FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A> </FONT>
</P>

</BODY>
</HTML>