<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1226" name=GENERATOR></HEAD>
<BODY style="MARGIN-TOP: 2px; FONT: 10pt MS Sans Serif; MARGIN-LEFT: 2px">
<DIV>Assuming everything is working and installed properly.  I would 
recommend checking two things.  One run a tcpdump on the interface that 
Snort is running on to make sure that there is traffic for Snort to 
process.  I have done this myself a couple of times when I have had 
multiple interfaces and set the wrong one by mistake.  </DIV>
<DIV> </DIV>
<DIV>Two I would make sure you have snort rules turned on.  Snort might be 
processing the data but there are no rules set for it to trigger on.  Or 
there is just no traffic triggering the rules.  Some days one of my sensors 
will go for hours without a rule trigger just because the traffic does not 
contain anything I am looking for.  What I do is create a rule that 
triggers on all traffic  (alert any any -> any any (msg:"Test 
Rule";sid:1234567;).  Turn the rule on and let snort run.  See if you 
are getting alerts and if you are turn the rule back off.  Warning don't 
let this rule run for very long or unattended it will fill up your database and 
hard drive fast if you forget about it.</DIV>
<DIV> </DIV>
<DIV>If everything above turns out ok.  Check your connection to the 
database.  Off the top of my head I am not too sure where everything is 
located to do this.  I believe RedHat puts error messages in the messages 
log file if there are problems check there.   You can use the 
mysqladmin PING command to make sure the database is running.</DIV>
<DIV> </DIV>
<DIV>Oh and make sure you have set the output plug in properly for snort it 
should look something like this:</DIV>
<DIV> </DIV>
<DIV>output database: alert, mysql, user=[database_login] 
password=[database_password] 
dbname=[database_name] host=[ip_of_database_computer] port=3306 
sensor_name=[insert_sensor_name_here] detail=full<BR></DIV>
<DIV>Hope this helps some or at least gets you started.</DIV>
<DIV> </DIV>
<DIV>Shawn</DIV>
<DIV> </DIV>
<DIV><BR>>>> "Raymond Norton" <admin@lctn.org> 09/24/03 02:27pm 
>>><BR>Being the novice I am with compiling and diagnosing errors I was 
really<BR>proud of myself when I followed the redhat 9.0 install docs and 
got<BR>everything working. httpd, mysql, and snort are all running 
without<BR>complaint. I pulled up the nice acid page and commenced to do a port 
scan,<BR>but snort does not respond to it. My page stays the same (0 hits). I 
looked<BR>over the faq to see what might be there, and verified that I have 
everything<BR>set right. I substituted "log" with "alert" in the snort.conf 
without any<BR>luck.<BR><BR>Any idea what I should be looking at to diagnose the 
problem?<BR><BR>Raymond<BR><BR><BR><BR><BR>-------------------------------------------------------<BR>This 
sf.net email is sponsored by:ThinkGeek<BR>Welcome to geek heaven.<BR><A 
href="http://thinkgeek.com/sf">http://thinkgeek.com/sf</A><BR>_______________________________________________<BR>Snort-users 
mailing list<BR>Snort-users@lists.sourceforge.net<BR>Go to this URL to change 
user options or unsubscribe:<BR><A 
href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>Snort-users 
list archive:<BR><A 
href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR><BR></DIV></BODY></HTML>