<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=US-ASCII">


<META content="MSHTML 6.00.2800.1106" name=GENERATOR>
<STYLE>@font-face {
        font-family: Tahoma;
}
@font-face {
        font-family: Garamond;
}
@page Section1 {size: 8.5in 11.0in; margin: 1.0in 1.0in 1.0in 1.0in; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline
}
P {
        FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; FONT-FAMILY: "Times New Roman"
}
SPAN.emailstyle17 {
        FONT-WEIGHT: normal; COLOR: windowtext; FONT-STYLE: normal; FONT-FAMILY: Garamond; TEXT-DECORATION: none
}
SPAN.emailstyle18 {
        FONT-FAMILY: Garamond
}
SPAN.emailstyle19 {
        FONT-FAMILY: Garamond
}
SPAN.EmailStyle20 {
        COLOR: navy; FONT-FAMILY: Arial
}
DIV.Section1 {
        page: Section1
}
</STYLE>
</HEAD>
<BODY lang=EN-US vLink=purple link=blue>
<DIV><SPAN class=610075015-25042003><FONT face=Arial color=#0000ff size=2>Not so 
sure about how this work in a windows environment, but in a linux envrionment, 
the results have been "erratic".  For example, with Redhat 7.3 and the 
latest versions of all else (PHP, MySQL, ACID, Snort, etc...), the alerts do 
appear to end up in both the snort database and the alert file.  However, 
the portscan alerts do not behave the same.  Sometimes the portscans will 
show up in the alert file instead of portscan.log and when that happens they do 
not appear in the ACID console.  Other times the portscans do end up in the 
portscan.log file and are viewable in the ACID console.  Anyone have a good 
explanation for this behavior?</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Michael Steele 
  [mailto:michaels@...155...]<BR><B>Sent:</B> Thursday, April 24, 2003 
  2:41 PM<BR><B>To:</B> 'Snow Jacob C KPWA'; 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-users] 
  Question about Snort/ACID/MySQL and portscans<BR><BR></FONT></DIV>
  <DIV class=Section1>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Jacob,</SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"></SPAN></FONT> </P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Remove the ‘output 
  database alert …’ line. By using ‘output database log …’ you will be 
  outputting to both types of logging (alert and log), and yes it use the log 
  file.</SPAN></FONT></P>
  <DIV>
  <P style="MARGIN-BOTTOM: 12pt"><FONT face="Times New Roman" color=navy 
  size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy">-Michael<BR>--<BR> </SPAN></FONT><FONT 
  color=navy size=2><SPAN style="FONT-SIZE: 10pt; COLOR: navy">Michael 
  Steele</SPAN></FONT><FONT color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy"> | System Engineer / Support 
  Technician    <BR> <A 
  href="mailto:michaels@...155...">mailto:michaels@...155...</A>   <BR> Silicon 
  Defense - The Cyber-War Defense Company<BR> Website: <A 
  href="http://www.silicondefense.com">http://www.silicondefense.com</A><BR> Snort: 
  Open Source Network IDS - <A 
  href="http://www.snort.org">http://www.snort.org</A></SPAN></FONT></P></DIV>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">-----Original 
  Message-----<BR><B><SPAN style="FONT-WEIGHT: bold">From:</SPAN></B> 
  </SPAN></FONT><FONT face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">snort-users-admin@lists.sourceforge.net</SPAN></FONT><FONT 
  face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"> 
  [mailto:</SPAN></FONT><FONT face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">snort-users-admin@lists.sourceforge.net</SPAN></FONT><FONT 
  face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">] 
  <B><SPAN style="FONT-WEIGHT: bold">On Behalf Of </SPAN></B></SPAN></FONT><FONT 
  face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">Snow 
  Jacob C KPWA</SPAN></FONT><FONT face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"><BR><B><SPAN 
  style="FONT-WEIGHT: bold">Sent:</SPAN></B> Thursday, April 24, 2003 1:04 
  PM<BR><B><SPAN style="FONT-WEIGHT: bold">To:</SPAN></B> '</SPAN></FONT><FONT 
  face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">snort-users@lists.sourceforge.net</SPAN></FONT><FONT 
  face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">'; 
  '</SPAN></FONT><FONT face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">Michael Steele</SPAN></FONT><FONT 
  face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">'<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Subject:</SPAN></B> [Snort-users] Question about 
  Snort/A</SPAN></FONT><FONT face=Tahoma size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">CID</SPAN></FONT><FONT 
  face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">/MySQL 
  and portscans</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=3><SPAN style="FONT-SIZE: 12pt"></SPAN></FONT> </P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond">Just a curious question when 
  you have:</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond"></SPAN></FONT> </P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in; TEXT-INDENT: 0.5in"><FONT 
  face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond">output database: log, mysql, 
  user=snort1 password=test_snort dbname=snort host=xxx.xxx.xxx.xxx port=3306 
  sensor_name=slave1</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in; TEXT-INDENT: 0.5in"><FONT 
  face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond">output database: alert, mysql, 
  user=snort1 password=test_snort dbname=snort host=xxx.xxx.xxx.xxx port=3306 
  sensor_name=slave1</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond"></SPAN></FONT> </P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond">in the snort.conf file will you 
  get alerts in the log file as well?</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond"></SPAN></FONT> </P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond">I have installed the service 
  with:</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond"></SPAN></FONT> </P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in; TEXT-INDENT: 0.5in"><FONT 
  face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond">snort /service /install -o -l 
  d:/applications/snort/log -c d:/applications/snort/etc/snort.conf -d 
  -i3</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond"></SPAN></FONT> </P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond">I am wondering why none of the 
  port scans that happen are showing up in SQL they are showing up in a text 
  document in the log folder.  Hwo do I configure the port scans to go to 
  mysql so I can view them with acid?  I am using snort 1.91 on 
  win2k/xp.  The alerts work fine and I can view everything with acid, 
  except the port scans.  I can go into the log directory and see the port 
  scan listing.</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond"></SPAN></FONT> </P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face=Garamond size=2><SPAN 
  style="FONT-SIZE: 11pt; FONT-FAMILY: Garamond"></SPAN></FONT> </P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=2><SPAN style="FONT-SIZE: 10pt">Thank you,</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=3><SPAN style="FONT-SIZE: 12pt"></SPAN></FONT> </P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=2><SPAN style="FONT-SIZE: 10pt">Jacob Snow</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=2><SPAN style="FONT-SIZE: 10pt"><A 
  href="mailto:jacobsc@...160...">jacobsc@...160...</A></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=2><SPAN style="FONT-SIZE: 10pt">(360)315-3487</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=2><SPAN style="FONT-SIZE: 10pt">NAVSEA Intern</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=3><SPAN 
style="FONT-SIZE: 12pt"></SPAN></FONT> </P></DIV></BLOCKQUOTE></BODY></HTML>