<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1106" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV>
<DIV><FONT face=Arial size=2>Frustration has set in and the answer is problably 
under my nose and can't see it. I really need for someone  to 
please point it out for me.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>I'm not new to snort or configuring ACID, MySQL 
with its accompanying programs in order to help view alerts in ACID.....ie., gd, 
php, phplot..etc. JPgraph is new and I haven't had a chance to play with 
it...yet..</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>First, I'm running RH 7.3 completely updated 
through the RHN on two machines...hardware is exactly the same on both 
machines....plenty of processing power and memory......500mhz/256 MB and a 9GB 
IDE drive. Plenty for my little home-network-lab. The firewall is Iptables 
latest version on a separate machine with the same (3 NICs) hardware, totally 
setup and functional. </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>On the snort (Version 2.0) machine I have 4 NICs 
one for management and the other three for the sensors. </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>eth0 ---> Management</FONT></DIV>
<DIV><FONT face=Arial size=2>eth1----> LAN</FONT></DIV>
<DIV><FONT face=Arial size=2>eth2----> INTERNET</FONT></DIV>
<DIV><FONT face=Arial size=2>eth3----> DMZ</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>I have 3 poor man taps, (hubs), for my sensors 
to monitor the traffic. Snort was configured with --with-mysql=DIR for database 
support. Snort is up and running fine...this is the script I use to fire up 
snort: </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>
<P class=MsoPlainText style="MARGIN: 0in 0in 0pt"><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">#!/bin/sh<BR>#<BR># snortd<SPAN 
style="mso-spacerun: yes">         
</SPAN>Start/Stop the snort IDS daemon.<BR>#<BR># chkconfig: 2345 40 60<BR># 
description:<SPAN style="mso-spacerun: yes">  </SPAN>snort is a lightweight 
network intrusion detection tool <BR>#<BR># Source function library.<BR>. 
/etc/rc.d/init.d/functions<BR><BR># Specify network interface 
here<BR>INTERFACE1=eth1<BR>INTERFACE2=eth2<BR>INTERFACE3=eth3<BR>SNORT=/usr/local/bin/snort<SPAN 
style="mso-spacerun: yes">  </SPAN><BR><BR># How they are called.<BR>case 
"$1" in<BR><SPAN style="mso-spacerun: yes">  </SPAN>start)<BR><SPAN 
style="mso-spacerun: yes">        </SPAN>echo 
-n "Starting snort sensor INET: "<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>ifconfig eth1 
promisc up<BR><SPAN 
style="mso-spacerun: yes">        
</SPAN>daemon $SNORT -o -i $INTERFACE1 -d -D \<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>-c 
/etc/snort/rules/snort-inet.conf<BR><SPAN 
style="mso-spacerun: yes">        
</SPAN>touch /var/lock/subsys/snort1<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>echo<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>echo -n "Starting 
snort sensor LAN: "<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>ifconfig eth2 
promisc up<BR><SPAN style="mso-tab-count: 1">      
</SPAN>daemon $SNORT -o -i $INTERFACE2 -d -D \<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>-c 
/etc/snort/rules/snort-lan.conf<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>touch 
/var/lock/subsys/snort2<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>echo<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>echo -n "Starting 
snort sensor DMZ: "<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>ifconfig eth3 
promisc up<BR><SPAN style="mso-tab-count: 1">      
</SPAN>daemon $SNORT -o -i $INTERFACE3 -d -D \<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>-c 
/etc/snort/rules/snort-dmz.conf<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>touch 
/var/lock/subsys/snort3<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>echo<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>;;<BR><SPAN 
style="mso-spacerun: yes">  </SPAN>stop)<BR><SPAN 
style="mso-spacerun: yes">        </SPAN>echo 
-n "Stopping snort: "<BR><SPAN 
style="mso-spacerun: yes">        
</SPAN>killproc snort<BR><SPAN 
style="mso-spacerun: yes">        </SPAN>rm 
-f /var/lock/subsys/snort*<BR><SPAN 
style="mso-tab-count: 1">      </SPAN>echo<BR><SPAN 
style="mso-spacerun: yes">        
</SPAN>;;<BR><SPAN style="mso-spacerun: yes">  </SPAN>restart)<BR><SPAN 
style="mso-spacerun: yes">        </SPAN>$0 
stop<BR><SPAN 
style="mso-spacerun: yes">        </SPAN>$0 
start<BR><SPAN style="mso-spacerun: yes">       
</SPAN><SPAN style="mso-spacerun: yes"> </SPAN>;;<BR><SPAN 
style="mso-spacerun: yes">  </SPAN>status)<BR><SPAN 
style="mso-spacerun: yes">        
</SPAN>status snort<BR><SPAN 
style="mso-spacerun: yes">        
</SPAN>;;<BR><SPAN style="mso-spacerun: yes">  </SPAN>*)<BR><SPAN 
style="mso-spacerun: yes">        </SPAN>echo 
"Usage: $0 {start|stop|restart|status}"<BR><SPAN 
style="mso-spacerun: yes">        </SPAN>exit 
1<BR><BR>exit 0</FONT></SPAN></P>
<P class=MsoPlainText style="MARGIN: 0in 0in 0pt"><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New"></FONT></SPAN> </P>
<P class=MsoPlainText style="MARGIN: 0in 0in 0pt"></FONT><FONT face=Arial 
size=2><SPAN style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">This works well...any suggestion for improvement will be 
appreciated.</FONT></SPAN></FONT></P>
<P class=MsoPlainText style="MARGIN: 0in 0in 0pt"><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">The snort-.....conf files have had 
their output plugins configured as such:</SPAN></SPAN></FONT></P>
<P class=MsoPlainText style="MARGIN: 0in 0in 0pt"><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"></SPAN></SPAN></FONT> </P>
<P class=MsoPlainText style="MARGIN: 0in 0in 0pt"><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">output database: log, mysql, 
user=snort password=xxxxxx dbname=snort host=x.x.x.x 
sensor_name=xxxxx</SPAN></SPAN></SPAN></FONT></P></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New"></FONT></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT face="Courier New">On the 
ACID box I have installed:</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT face=Arial>
<P class=MsoPlainText style="MARGIN: 0in 0in 0pt"><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">Apache 1.3.27</SPAN></P>
<P class=MsoPlainText style="MARGIN: 0in 0in 0pt"><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"></SPAN> </P></FONT></SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">MySQL 3.23.56-1</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">MySQL-client 
3.23.56-1</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">MySQL-shared 
3.23.56-1</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"></SPAN></FONT> </DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">commands used: set password for 
'root'@'localhost'=password('mypassword');</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">               creat 
database snort; </SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">               connect 
snort</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">               source 
create_mysql</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">               grant 
CREATE,INSERT,SELECT,DELETED,UPDATE on snort.* to snort;</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">               "                                                      "snort@...274...;</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">    
           connect 
mysql</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT face=Arial>    
                
          set password for 
'snort'@'localhost' =password('mypassword');</FONT></SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face=Arial>                              set password 
for 'snort'@'%'=password('mypassword');</FONT></SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">    
           flush 
privileges;</SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">    
           exit</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">php-4.1.2-73.6</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">php-mysql-4.1.2-7.3</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New"></FONT></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT face="Courier New">Untarred 
and copied the following files to /var/www/html</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New"></FONT></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT face="Courier New">acid 
0.9.6b23</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">adodb331</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT face="Courier New">gd 
1.8.4</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT face="Courier New">phplot 
4.4.6</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New"></FONT></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT face="Courier New">Variables 
on ACID are as follows</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">$DBlig_path="../adodb";</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">$alert_dbname="snort";</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">$alert_user="snort";</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">alert_password="xxxx";</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New">$CharLib_path="../phplot";</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT 
face="Courier New"></FONT></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"><FONT face="Courier New">This 
should be enough for me to be able to start snort and log alerts to the database 
and view them with ACID or at least I thought so. It seems that the sensors are 
being inserted to the mysql database, however they are not viewable through ACID 
and snort is not logging alerts to the database.....even though it does capture 
packets and they viewable real time through the output on screen...no error 
messages from anywhere that I have been able to see so far ("tail -100 
/var/log/messages"). I know, I know, switch from log to alert in the output 
database line, but I have done that to no avail. Snort fires up correctly and 
the fact that the sensors are being inserted into the database shows me that 
their is connectivity with the MySQL snort database...I'm at a lost. Any help 
will be gratefully appreciated. I have re-installed the system twice now and on 
the brink of sheer frustration ... The funny thing is that I have installed the 
Snort/ACID IDS system prior to snort 2.0 with not much trouble on numerous 
occassions.</FONT></SPAN></FONT></DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"></SPAN></FONT> </DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'"></SPAN></FONT> </DIV>
<DIV><FONT face="Courier New" size=2><SPAN 
style="mso-fareast-font-family: 'MS Mincho'">Tim--Mia/Fla</SPAN></FONT></DIV></DIV></BODY></HTML>