<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word" xmlns:st1 = 
"urn:schemas-microsoft-com:office:smarttags"><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1226" name=GENERATOR><!--[if !mso]>
<STYLE>v\:* {
        BEHAVIOR: url(#default#VML)
}
o\:* {
        BEHAVIOR: url(#default#VML)
}
w\:* {
        BEHAVIOR: url(#default#VML)
}
.shape {
        BEHAVIOR: url(#default#VML)
}
</STYLE>
<![endif]--><o:SmartTagType name="time" 
namespaceuri="urn:schemas-microsoft-com:office:smarttags"></o:SmartTagType><o:SmartTagType 
name="date" 
namespaceuri="urn:schemas-microsoft-com:office:smarttags"></o:SmartTagType><o:SmartTagType 
name="PersonName" 
namespaceuri="urn:schemas-microsoft-com:office:smarttags"></o:SmartTagType><!--[if !mso]>
<STYLE>
st1\:*{behavior:url(#default#ieooui) }
</STYLE>
<![endif]-->
<STYLE>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</STYLE>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]--></HEAD>
<BODY lang=EN-US vLink=blue link=blue bgColor=white>
<DIV><FONT face=Arial size=2>Michael I ran the command and below is the 
output....it appeared to be successful.</FONT></DIV>
<DIV><FONT face=Arial size=2>C:\Snort\bin>snort -c c:\snort\etc\snort.conf -l 
c:\snort\log -i1 -T<BR>Running in IDS mode<BR>Log directory = 
c:\snort\log</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>Initializing Network Interface 
\Device\NPF_{B372C2A0-D71E-47F6-9E12-5D4195C8F61A<BR>}</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>        --== 
Initializing Snort ==--<BR>Initializing Output Plugins!<BR>Decoding Ethernet on 
interface \Device\NPF_{B372C2A0-D71E-47F6-9E12-5D4195C8F61A<BR>}<BR>Initializing 
Preprocessors!<BR>Initializing Plug-ins!<BR>Parsing Rules file 
c:\snort\etc\snort.conf</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial 
size=2>+++++++++++++++++++++++++++++++++++++++++++++++++++<BR>Initializing rule 
chains...<BR>No arguments to frag2 directive, setting defaults 
to:<BR>    Fragment timeout: 60 seconds<BR>    
Fragment memory cap: 4194304 bytes<BR>    Fragment 
min_ttl:   0<BR>    Fragment ttl_limit: 
5<BR>    Fragment Problems: 0<BR>    Self 
preservation threshold: 500<BR>    Self preservation period: 
90<BR>    Suspend threshold: 1000<BR>    Suspend 
period: 30<BR>Stream4 config:<BR>    Stateful inspection: 
ACTIVE<BR>    Session statistics: INACTIVE<BR>    
Session timeout: 30 seconds<BR>    Session memory cap: 8388608 
bytes<BR>    State alerts: INACTIVE<BR>    Evasion 
alerts: INACTIVE<BR>    Scan alerts: ACTIVE<BR>    
Log Flushed Streams: INACTIVE<BR>    MinTTL: 
1<BR>    TTL Limit: 5<BR>    Async Link: 
0<BR>    State Protection: 0<BR>    Self 
preservation threshold: 50<BR>    Self preservation period: 
90<BR>    Suspend threshold: 200<BR>    Suspend 
period: 30<BR>Stream4_reassemble config:<BR>    Server 
reassembly: INACTIVE<BR>    Client reassembly: 
ACTIVE<BR>    Reassembler alerts: ACTIVE<BR>    
Ports: 21 23 25 53 80 110 111 143 513 1433<BR>    Emergency 
Ports: 21 23 25 53 80 110 111 143 513 1433<BR>http_decode 
arguments:<BR>    Unicode decoding<BR>    IIS 
alternate Unicode decoding<BR>    IIS double encoding 
vuln<BR>    Flip backslash to slash<BR>    Include 
additional whitespace separators<BR>    Ports to decode http on: 
80<BR>rpc_decode arguments:<BR>    Ports to decode RPC on: 111 
32771<BR>    alert_fragments: INACTIVE<BR>    
alert_large_fragments: ACTIVE<BR>    alert_incomplete: 
ACTIVE<BR>    alert_multiple_requests: ACTIVE<BR>telnet_decode 
arguments:<BR>    Ports to decode telnet on: 21 23 25 
119<BR>Using LOCAL time<BR>database: compiled support for ( mysql odbc 
)<BR>database: configured to use 
mysql<BR>database:          user = 
snort<BR>database: password is set<BR>database: database name = 
snort<BR>database:          host = 
localhost<BR>database:          
port = 3306<BR>database:   sensor name = 
console<BR>database:     sensor id = 2<BR>database: 
inconsistent cid information for 
sid=2<BR>          Recovering by 
rolling forward the cid=5<BR>database: schema version = 106<BR>database: using 
the "alert" facility<BR>1331 Snort rules read...<BR>1331 Option Chains linked 
into 139 Chain Headers<BR>0 Dynamic 
rules<BR>+++++++++++++++++++++++++++++++++++++++++++++++++++</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>Rule application order: 
->activation->dynamic->alert->pass->log</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>        --== 
Initialization Complete ==--</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>-*> Snort! <*-<BR>Version 
2.0.0-ODBC-MySQL-WIN32 (Build 72)<BR>By Martin Roesch (<A 
href="mailto:roesch@...1935...">roesch@...1935...</A>, <A 
href="http://www.snort.org">www.snort.org</A>)<BR>1.7-WIN32 Port By Michael 
Davis (<A href="mailto:mike@...92...">mike@...92...</A>, <A 
href="http://www.datanerds.net/~mike">www.datanerds.net/~mike</A>)<BR>1.8 - 2.0 
WIN32 Port By Chris Reid (<A 
href="mailto:chris.reid@...3029...">chris.reid@...3029...</A>)</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>Snort sucessfully loaded all rules and checked all 
rule chains!<BR>database: Closing connection to database "snort"<BR>Snort 
exiting<BR></FONT></DIV>
<BLOCKQUOTE dir=ltr 
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B> 
  <A title=michaels@...9077... href="mailto:michaels@...9077...">Michael 
  Steele</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A 
  title=snort-users@lists.sourceforge.net 
  href="mailto:snort-users@lists.sourceforge.net">snort-users@...635...eforge.net</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Tuesday, September 09, 2003 2:41 
  PM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> RE: [Snort-users] W2k Startup 
  Error</DIV>
  <DIV><BR></DIV>
  <DIV class=Section1>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Make SURE you have 
  the paths configured properly. Also make SURE MySQL is running and accepting 
  the connection. Try running this from the snort/bin 
  folder:<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">snort  -c 
  c:\snort\etc\snort.conf -l c:\snort\log -i1 
  -T         <FONT color=navy><SPAN 
  style="COLOR: navy"><o:p></o:p></SPAN></FONT></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">This will run a 
  diagnosis on your install.<o:p></o:p></SPAN></FONT></P>
  <DIV>
  <P><FONT face="Times New Roman" color=navy size=2><SPAN 
  style="FONT-SIZE: 10pt; COLOR: navy">-<st1:PersonName w:st="on">Michael 
  Steele</st1:PersonName><BR>--<BR> System Engineer / Security Support 
  Technician    <BR> <A 
  href="mailto:michaels@...9077...">mailto:michaels@...9077...</A>   <BR> Website: 
  <A href="http://www.winsnort.com">http://www.winsnort.com</A><BR> Snort: 
  Open Source Network IDS - <A 
  href="http://www.snort.org">http://www.snort.org</A><BR> </SPAN></FONT><FONT 
  color=navy><SPAN style="COLOR: navy"> </SPAN></FONT><o:p></o:p></P></DIV>
  <DIV>
  <DIV class=MsoNormal style="TEXT-ALIGN: center" align=center><FONT 
  face="Times New Roman" size=3><SPAN style="FONT-SIZE: 12pt">
  <HR tabIndex=-1 align=center width="100%" SIZE=2>
  </SPAN></FONT></DIV>
  <P class=MsoNormal><B><FONT face=Tahoma size=2><SPAN 
  style="FONT-WEIGHT: bold; FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">From:</SPAN></FONT></B><FONT 
  face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net] <B><SPAN 
  style="FONT-WEIGHT: bold">On Behalf Of </SPAN></B>d_greenjr<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Sent:</SPAN></B> Monday, <st1:date w:st="on" 
  ls="trans" Month="9" Day="08" Year="2003">September 08, 2003</st1:date> 
  <st1:time w:st="on" Hour="15" Minute="59">3:59 PM</st1:time><BR><B><SPAN 
  style="FONT-WEIGHT: bold">To:</SPAN></B> 
  snort-users@lists.sourceforge.net<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Subject:</SPAN></B> [Snort-users] W2k Startup 
  Error</SPAN></FONT><o:p></o:p></P></DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt"><o:p> </o:p></SPAN></FONT></P>
  <DIV>
  <P class=MsoNormal><FONT face=Arial size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">This may not be the forum to ask 
  this question, but I installed snort on Windows 2000 with no problem.  I 
  then followed the winsnort directions (<A 
  href="http://www.winsnort.com/Winsnort/guides/WinSnortApache.pdf">http://www.winsnort.com/Winsnort/guides/WinSnortApache.pdf</A>) 
  on installing snort as a service and received the error "Could not start the 
  Snort service on Local Computer.  Error 1067: The process terminated 
  unexpectedly."  And it did not start.  The command I used to install 
  the service was as follows (from the snort/bin directory): 
  </SPAN></FONT><o:p></o:p></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face=Arial size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">    
      snort /SERVICE /INSTALL -de -c c:\snort\etc\snort.conf -l 
  c:\snort\log -i1</SPAN></FONT><o:p></o:p></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt"> <o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face=Arial size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">I also set the service to 
  automatically start. Following is what the snort service properties path reads 
  "C:\Snort\bin\SNORT /SERVICE"</SPAN></FONT><o:p></o:p></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face="Times New Roman" size=3><SPAN 
  style="FONT-SIZE: 12pt"> <o:p></o:p></SPAN></FONT></P></DIV>
  <DIV>
  <P class=MsoNormal><FONT face=Arial size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Any 
  suggestions??</SPAN></FONT><o:p></o:p></P></DIV></DIV></BLOCKQUOTE></BODY></HTML>