<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1126" name=GENERATOR></HEAD>
<BODY style="MARGIN-TOP: 2px; FONT: 10pt MS Sans Serif; MARGIN-LEFT: 2px">
<DIV>I had this problem as well.  In my case thought it was due to 
firewalling (iptables or chains depending) issues on the SnortCenter 
server.  If all your fire walling rules look ok on the SnortCenter server 
try double checking your database logins.  Failing that I ran tcpdump on 
both machines to find the problem.   In my case I noticed syn 
connections where being sent to the server but the server wasn't 
responding.  You might find something similar with your setup to guide you 
in the right direction for problem solving.  </DIV>
<DIV> </DIV>
<DIV>Hope I was at least a little helpful.<BR></DIV>
<DIV> </DIV>
<DIV>Shawn Truax<BR>Security Specialist<BR>Corporate Security<BR>155 University 
Ave.<BR>Toronto, Ontario<BR>M5H 3B7<BR>(416)327-1107</DIV>
<DIV><BR>>>> "David Powell" <dpowell@herbalife.com> 05/05/03 
02:55pm >>><BR>Anybody using SnortCenter?  <BR><BR>Strange issue, 
not SnortCenter related actually so anyone may have had this<BR>issue 
before.  <BR><BR>I've setup my output plug-in correctly because I've got 
two other sensors<BR>working fine.  <BR><BR>The third sensor I'm attempting 
to add is giving me a mysql connection<BR>error.  I've made this sensor 
just like the rest.  <BR><BR>I can get SnortCenter to connect the sensor 
and push rules to the sensor<BR>just fine but when I try to start the sensor I 
get this message;<BR><BR>IP's and names have been changed of course,<BR>All 
three sensors are inside network sensors.  No outside 
interfaces.<BR><BR>Current config file error:<BR>Running in IDS mode<BR>Log 
directory = /var/log/snort<BR><BR>Initializing Network Interface 
eth1<BR><BR>--== Initializing Snort ==--<BR>Rule application order changed to 
Pass->Alert->Log<BR>Initializing Output Plugins!<BR>Decoding Ethernet on 
interface eth1<BR>Parsing Rules file 
/etc/snort/snort.eth1.conf<BR><BR>+++++++++++++++++++++++++++++++++++++++++++++++++++<BR>Initializing 
rule chains...<BR>Initializing Preprocessors!<BR>Initializing Plug-ins!<BR>No 
arguments to frag2 directive, setting defaults to:<BR>Fragment timeout: 60 
seconds<BR>Fragment memory cap: 4194304 bytes<BR>Fragment min_ttl: 0<BR>Fragment 
ttl_limit: 5<BR>Fragment Problems: 0<BR>Self preservation threshold: 500<BR>Self 
preservation period: 90<BR>Suspend threshold: 1000<BR>Suspend period: 
30<BR>Stream4 config:<BR>Stateful inspection: ACTIVE<BR>Session statistics: 
INACTIVE<BR>Session timeout: 30 seconds<BR>Session memory cap: 8388608 
bytes<BR>State alerts: INACTIVE<BR>Evasion alerts: INACTIVE<BR>Scan alerts: 
ACTIVE<BR>Log Flushed Streams: INACTIVE<BR>MinTTL: 1<BR>TTL Limit: 5<BR>Async 
Link: 0<BR>State Protection: 0<BR>Self preservation threshold: 50<BR>Self 
preservation period: 90<BR>Suspend threshold: 200<BR>Suspend period: 
30<BR>Stream4_reassemble config:<BR>Server reassembly: INACTIVE<BR>Client 
reassembly: ACTIVE<BR>Reassembler alerts: ACTIVE<BR>Ports: 21 23 25 53 80 110 
111 143 513 1433 <BR>Emergency Ports: 21 23 25 53 80 110 111 143 513 1433 
<BR>http_decode arguments:<BR>Unicode decoding<BR>IIS alternate Unicode 
decoding<BR>IIS double encoding vuln<BR>Flip backslash to slash<BR>Include 
additional whitespace separators<BR>Ports to decode http on: 80 <BR>rpc_decode 
arguments:<BR>Ports to decode RPC on: 111 32771 <BR>alert_fragments: 
INACTIVE<BR>alert_large_fragments: ACTIVE<BR>alert_incomplete: 
ACTIVE<BR>alert_multiple_requests: ACTIVE<BR>telnet_decode arguments:<BR>Ports 
to decode telnet on: 21 23 25 119 <BR>Conversation Config:<BR>KeepStats: 
0<BR>Conv Count: 32000<BR>Timeout : 60<BR>Alert Odd?: 0<BR>Allowed IP Protocols: 
All<BR><BR>ERROR: database: mysql_error: Can't connect to MySQL server on 
'10.x.x.x'<BR>(110)<BR>Fatal Error, Quitting..<BR>database: compiled support for 
( mysql )<BR>database: configured to use mysql<BR>database: user = 
xxxx<BR>database: password is set<BR>database: database name = xxxx<BR>database: 
host = 10.x.x.x<BR>database: sensor name = snort3<BR>database: detail level = 
full  <BR><BR>Dave Powell - Network Analyst<BR>Infrastructure 
310-258-7140<BR>Herbalife IT 
Department<BR><BR><BR><BR><BR>-------------------------------------------------------<BR>This 
sf.net email is sponsored by:ThinkGeek<BR>Welcome to geek heaven.<BR><A 
href="http://thinkgeek.com/sf">http://thinkgeek.com/sf</A><BR>_______________________________________________<BR>Snort-users 
mailing list<BR>Snort-users@lists.sourceforge.net<BR>Go to this URL to change 
user options or unsubscribe:<BR><A 
href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>Snort-users 
list archive:<BR><A 
href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR><BR></DIV></BODY></HTML>