<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=windows-874">


<META content="MSHTML 6.00.2800.1106" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT SIZE=5><FONT face=Arial color=#0000ff size=2><SPAN 
class=621284905-29092003>Prached,</SPAN></FONT></FONT></DIV>
<DIV><FONT SIZE=5><FONT face=Arial color=#0000ff size=2><SPAN 
class=621284905-29092003></SPAN></FONT> </FONT></DIV>
<DIV><FONT SIZE=5><FONT face=Arial color=#0000ff size=2><SPAN class=621284905-29092003>Take a 
look at sourceforge.net/projects/snort-idmef where I provide a new 
version.</SPAN></FONT></FONT></DIV>
<DIV><FONT SIZE=5><FONT face=Arial color=#0000ff size=2><SPAN 
class=621284905-29092003></SPAN></FONT> </FONT></DIV>
<DIV><FONT SIZE=5><FONT face=Arial color=#0000ff size=2><SPAN 
class=621284905-29092003>HTH,</SPAN></FONT></FONT></DIV>
<DIV><FONT SIZE=5><FONT face=Arial color=#0000ff size=2><SPAN 
class=621284905-29092003>Sandro</SPAN></FONT></FONT></DIV>
<DIV><FONT SIZE=5><FONT face=Tahoma size=2><FONT face=Arial color=#0000ff></FONT> </FONT></DIV>
<DIV><BR></DIV></FONT>
<BLOCKQUOTE dir=ltr 
style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #0000ff 2px solid; MARGIN-RIGHT: 0px">
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>Hi all,</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>I tried to bring my snort + idmef 
  up.</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>But, so far, snort process was dead 
  with this error </FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT></FONT> </FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>Sep 28 16:28:00 biff snort: FATAL 
  ERROR: IDMEF: cannot output messages on a NULL facility</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT></FONT> </FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>I'm runing snort-2.0.2 with IDMEF 
  XML output plugin for Snort, version 0.2.2.</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>I can complie both of them without 
  problem. This is the snort's configuration line...</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT></FONT> </FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>$ ./configure 
  --prefix=/usr/local/snort --mandir=/usr/local/man 
  --enable-idmef<BR> --with-libxml2-includes=/usr/local/include 
  --with-libxml2-libraries=/usr/local/lib</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT></FONT> </FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT><FONT face=Arial size=2>The 
  following alert is received and snort is dead.... 
  (/var/log/snort/alert)</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT></FONT> </FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>[**] [1:1411:3] SNMP public access 
  udp [**]<BR>[Classification: Attempted Information Leak] [Priority: 
  2]<BR>09/29-00:11:49.034901 192.168.0.50:1074 -> 192.168.0.1:161<BR>UDP 
  TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:117 DF<BR>Len: 89<BR>[Xref => <A 
  href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0013][Xref">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0013][Xref</A> 
  => ht<BR>tp://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0012][Xref 
  => <A 
  href="http://cve.mi">http://cve.mi</A><BR>tre.org/cgi-bin/cvename.cgi?name=CAN-1999-0517]<BR></FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>and snort is 
  dead!</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT></FONT> </FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>This is the IDMEF setting in my 
  snort.conf file.</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT></FONT> </FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>output idmef: $HOME_NET 
  logto=/var/log/snort/idmef_alerts.log 
  dtd=/usr/local/sno<BR>rt/etc/idmef-message.dtd analyzerid=IDS1 output=alert 
  name=biff default=ascii in<BR>dent=true</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT></FONT> </FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>Do you  have any idea 
  where I stuck?</FONT></FONT></FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2></FONT></FONT> </FONT></DIV>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial size=2>Prachid T.</FONT></FONT></DIV></FONT>
  <DIV><FONT SIZE=5><FONT size=5><FONT face=Arial 
size=2></FONT></FONT> </FONT></DIV></BLOCKQUOTE></BODY></HTML>