<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<TITLE>Message</TITLE>

<META content="MSHTML 6.00.2800.1170" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Tahoma size=2></FONT> </DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV><SPAN class=279595900-01082003><FONT face=Arial color=#0000ff size=2>I've 
  set up 3 boxes in 10 days using that acid/rh9.0 howto (my first 3)- and each 
  time the same thing happened to me.  Check your MySQL snort dbase, and 
  the table called 'events'  if (after running Nessus/NMAP at your sensor) 
  the table's empty, it's that snort isn't writing to the dbase. (this was the 
  case for me)</FONT></SPAN></DIV>
  <DIV><SPAN class=279595900-01082003>    <FONT face=Arial 
  color=#0000ff size=2>I double checked everything to no avail (i did have a 
  MySQL user named snort who has/had INSERT rights like the howto 
  said...)</FONT></SPAN></DIV>
  <DIV><SPAN class=279595900-01082003><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=279595900-01082003><FONT face=Arial color=#0000ff size=2>as a 
  work-around:  </FONT></SPAN><SPAN class=279595900-01082003><FONT 
  face=Arial color=#0000ff size=2>in the snort.conf file, if i switch the mySQL 
  user to 'root' instead of 'snort'  and then snort can write to MySQL, and 
  ACID has some data to display.</FONT></SPAN></DIV>
  <DIV><SPAN class=279595900-01082003><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=279595900-01082003><FONT face=Arial color=#0000ff size=2>OT: 
  -how big a security issue is this?</FONT></SPAN></DIV>
  <DIV><SPAN class=279595900-01082003><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=279595900-01082003><FONT face=Arial color=#0000ff 
  size=2>Fernando</FONT></SPAN></DIV>
  <BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
    <DIV></DIV>
    <DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left><FONT 
    face=Tahoma size=2>-----Original Message-----<BR><B>From:</B> 
    snort-users-admin@lists.sourceforge.net 
    [mailto:snort-users-admin@lists.sourceforge.net] <B>On Behalf Of 
    </B>Stevo<BR><B>Sent:</B> Thursday, July 31, 2003 5:50 PM<BR><B>To:</B> 
    snort-users@lists.sourceforge.net<BR><B>Subject:</B> [Snort-users] Beginner 
    Help...<BR><BR></FONT></DIV>
    <DIV><FONT face=Arial size=2>Hey All,</FONT></DIV>
    <DIV><FONT face=Arial size=2></FONT> </DIV>
    <DIV><FONT face=Arial size=2>Sorry for the stupid questions... and I have 
    RTFM'ed, but I just need some quick answers!!</FONT></DIV>
    <DIV><FONT face=Arial size=2></FONT> </DIV>
    <DIV><FONT face=Arial size=2>I've got Snort setup as per the <A 
    href="http://www.snort.org/docs/snort_acid_rh9.pdf">http://www.snort.org/docs/snort_acid_rh9.pdf</A> instructions... but 
    I don't see any Alert at all in Acid.  </FONT></DIV>
    <DIV><FONT face=Arial size=2></FONT> </DIV>
    <DIV><FONT face=Arial size=2>I have 2 interfaces in my Snort box, one for 
    management and one for sniffing.  The sniffer interface is connected to 
    a switch (Cat4006) and I'm spanning our uplink port to the sniffer 
    interface.  I know that's working because if I do a tcpdump -i eth1 
    (the sniffer interface) I see ALL the traffic from our 
    network...</FONT></DIV>
    <DIV><FONT face=Arial size=2></FONT> </DIV>
    <DIV><FONT face=Arial size=2>Snort is running and supposibly logging the my 
    mysql db - should I see the number of records increasing in a certain table 
    to make sure the data is in fact being logged there successfully??  
    I've been using Retina to scan my network to attempt to generate alerts, but 
    that hasn't worked.  Is there another tool I could use to generate 
    "naughty" traffic??</FONT></DIV>
    <DIV><FONT face=Arial size=2></FONT> </DIV>
    <DIV><FONT face=Arial size=2>Does anyone have any thing else I can 
    check??  </FONT></DIV>
    <DIV><FONT face=Arial size=2></FONT> </DIV>
    <DIV><FONT face=Arial size=2>Thanks</FONT></DIV>
    <DIV><FONT face=Arial size=2></FONT> </DIV>
    <DIV><FONT face=Arial size=2>Stevo</FONT></DIV>
    <DIV> </DIV></BLOCKQUOTE></BLOCKQUOTE></BODY></HTML>