<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.6249.1">
<TITLE>Snort running but no alert show in ACID</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/rtf format -->

<P><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">Hello,</FONT>

<BR><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">I'm running snort on a Red Hat 9 with mysql db and ACID.</FONT>

<BR><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">All was working  fine but at a certain point, I don't know the reason, alerts stop to be logged on db and obviously to be displayed through ACID.</FONT></P>

<P><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">I try to see if packets was arriving to the nic using tcpdump and it works.</FONT>

<BR><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">Now the strange thing: if I run simultaneously snort (as a daemon) and tcpdump (by command line) on the same interface, alerts are logged again in the db and displayed through ACID.</FONT></P>

<P><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">I thought that some how the nic is not put in promiscuous mode when snort starts, so I tried to set it manually (ifconfig eth01 promisc) but sill alerts are not displayed without tcpdump running.</FONT></P>

<P><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">Anyone has a suggestion for me?</FONT>
</P>

<P><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">Thanks for your help</FONT>

<BR><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">Best Regards</FONT>

<BR><FONT COLOR="#000080" SIZE=2 FACE="Comic Sans MS">Michela Gandolfo</FONT>
</P>

<P><FONT SIZE=1 FACE="Verdana">************************************************</FONT>

<BR><FONT FACE="Times New Roman"> </FONT>

<BR><FONT SIZE=1 FACE="Verdana">This e-mail is from Wärtsilä Italia and it is intended only for the adressee. This e-mail may contain privileged and confidential information. If you receive this e-mail by mistake, please return it to Wärtsilä Italia without distributing or retaining copies thereof. Thank you.</FONT></P>

<P><FONT FACE="Times New Roman"> </FONT>

<BR><FONT SIZE=1 FACE="Verdana">************************************************</FONT>

<BR><FONT FACE="Times New Roman"> </FONT>
</P>
<BR>

</BODY>
</HTML>