<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word" xmlns:st1 = "urn:schemas:contacts" 
xmlns:st2 = "urn:schemas-microsoft-com:office:smarttags"><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content=Word.Document name=ProgId>
<META content="MSHTML 5.00.3700.6699" name=GENERATOR>
<META content="Microsoft Word 9" name=Originator><LINK 
href="cid:filelist.xml@...11615..." rel=File-List><LINK 
href="cid:editdata.mso@...11615..." rel=Edit-Time-Data><!--[if !mso]>
<STYLE>v\:* {
        BEHAVIOR: url(#default#VML)
}
o\:* {
        BEHAVIOR: url(#default#VML)
}
w\:* {
        BEHAVIOR: url(#default#VML)
}
.shape {
        BEHAVIOR: url(#default#VML)
}
</STYLE>
<![endif]--><!--[if gte mso 9]><xml>
 <o:OfficeDocumentSettings>
  <o:DoNotRelyOnCSS/>
 </o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:Zoom>0</w:Zoom>
  <w:DocumentKind>DocumentEmail</w:DocumentKind>
  <w:EnvelopeVis/>
  <w:Compatibility>
   <w:BreakWrappedTables/>
   <w:SnapToGridInCell/>
   <w:WrapTextWithPunct/>
   <w:UseAsianBreakRules/>
  </w:Compatibility>
  <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel>
  <w:SpellingState>Clean</w:SpellingState>
  <w:GrammarState>Clean</w:GrammarState>
 </w:WordDocument>
</xml><![endif]-->
<STYLE>@font-face {
        font-family: Tahoma;
}
SPAN.EMAILSTYLE17 {
        mso-style-noshow: yes
}
SPAN.SPELLE {
        mso-spl-e: yes
}
SPAN.GRAME {
        mso-gram-e: yes
}
P.MsoNormal {
        FONT-FAMILY: "Times New Roman"; FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; mso-fareast-font-family: "Times New Roman"; mso-style-parent: ""; mso-pagination: widow-orphan
}
LI.MsoNormal {
        FONT-FAMILY: "Times New Roman"; FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; mso-fareast-font-family: "Times New Roman"; mso-style-parent: ""; mso-pagination: widow-orphan
}
DIV.MsoNormal {
        FONT-FAMILY: "Times New Roman"; FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; mso-fareast-font-family: "Times New Roman"; mso-style-parent: ""; mso-pagination: widow-orphan
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline; text-underline: single
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline; text-underline: single
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline; text-underline: single
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline; text-underline: single
}
P.MsoAutoSig {
        FONT-FAMILY: "Times New Roman"; FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; mso-fareast-font-family: "Times New Roman"; mso-pagination: widow-orphan
}
LI.MsoAutoSig {
        FONT-FAMILY: "Times New Roman"; FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; mso-fareast-font-family: "Times New Roman"; mso-pagination: widow-orphan
}
DIV.MsoAutoSig {
        FONT-FAMILY: "Times New Roman"; FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; mso-fareast-font-family: "Times New Roman"; mso-pagination: widow-orphan
}
P {
        FONT-FAMILY: "Times New Roman"; FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; mso-margin-top-alt: auto; mso-fareast-font-family: "Times New Roman"; mso-pagination: widow-orphan; mso-margin-bottom-alt: auto
}
SPAN.EmailStyle17 {
        COLOR: windowtext; mso-bidi-font-size: 10.0pt; mso-style-type: personal; mso-ansi-font-size: 10.0pt; mso-ascii-font-family: Arial; mso-hansi-font-family: Arial; mso-bidi-font-family: Arial
}
SPAN.EmailStyle19 {
        COLOR: navy; mso-style-type: personal-reply; mso-ansi-font-size: 10.0pt; mso-ascii-font-family: Arial; mso-hansi-font-family: Arial; mso-bidi-font-family: Arial
}
DIV.Section1 {
        page: Section1
}
</STYLE>
<o:SmartTagType namespaceuri="urn:schemas:contacts" 
name="Sn"></o:SmartTagType><o:SmartTagType namespaceuri="urn:schemas:contacts" 
name="GivenName"></o:SmartTagType><o:SmartTagType 
namespaceuri="urn:schemas-microsoft-com:office:smarttags" 
name="PersonName"></o:SmartTagType></HEAD>
<BODY lang=EN-US link=blue style="tab-interval: .5in" vLink=purple>
<DIV><FONT color=#0000ff face=Arial size=2><SPAN class=751250914-09042004>SEC is 
very powerful, we use with Nagios, Snort, and other tools to look at key events 
over time and have it make decisions.  Good coding is critical to success, 
if you do it wrong you will wake up at 3AM because of some server automatic 
discovery tool is looking for a printer.  </SPAN></FONT></DIV>
<DIV><FONT color=#0000ff face=Arial size=2><SPAN 
class=751250914-09042004></SPAN></FONT> </DIV>
<DIV><FONT color=#0000ff face=Arial size=2><SPAN 
class=751250914-09042004>-Kevin</SPAN></FONT></DIV>
<BLOCKQUOTE style="MARGIN-RIGHT: 0px">
  <DIV align=left class=OutlookMessageHeader dir=ltr><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net]<B>On Behalf Of 
  </B>Alan<BR><B>Sent:</B> Friday, 09 April, 2004 4:08 AM<BR><B>To:</B> 
  pmartin@...11611...<BR><B>Cc:</B> 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-users] Setting 
  up notifications in Snort<BR><BR></DIV></FONT>
  <DIV class=Section1>
  <P class=MsoNormal><SPAN class=EmailStyle19><FONT color=navy face=Arial 
  size=2><SPAN 
  style="FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-bidi-font-size: 12.0pt">I 
  would recommend SEC (Simple Event Correlator) <A 
  href="http://kodu.neti.ee/~risto/sec/">http://kodu.neti.ee/~risto/sec/</A> for 
  alerting. It is more powerful (but harder to use) then Swatch. They way I have 
  my Snort box set-up is to alert me by email when certain priority alerts come 
  up so I can respond to it ASAP. Please be warned you will need to know PERL 
  regular expressions to use SEC effectively. 
  <o:p></o:p></SPAN></FONT></SPAN></P>
  <P class=MsoNormal><SPAN class=EmailStyle19><FONT color=navy face=Arial 
  size=2><SPAN 
  style="FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-bidi-font-size: 12.0pt"><![if !supportEmptyParas]> <![endif]><o:p></o:p></SPAN></FONT></SPAN></P>
  <P class=MsoNormal><SPAN class=EmailStyle19><FONT color=navy face=Arial 
  size=2><SPAN 
  style="FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-bidi-font-size: 12.0pt"><![if !supportEmptyParas]> <![endif]><o:p></o:p></SPAN></FONT></SPAN></P>
  <P class=MsoNormal><SPAN class=EmailStyle19><FONT color=navy face=Arial 
  size=2><SPAN 
  style="FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-bidi-font-size: 12.0pt"><![if !supportEmptyParas]> <![endif]><o:p></o:p></SPAN></FONT></SPAN></P>
  <P class=MsoNormal><SPAN class=EmailStyle19><FONT color=navy face=Arial 
  size=2><SPAN 
  style="FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-bidi-font-size: 12.0pt">-Alan 
  <o:p></o:p></SPAN></FONT></SPAN></P>
  <P class=MsoNormal><SPAN class=EmailStyle19><FONT color=navy face=Arial 
  size=2><SPAN 
  style="FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-bidi-font-size: 12.0pt"><![if !supportEmptyParas]> <![endif]><o:p></o:p></SPAN></FONT></SPAN></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black face=Tahoma 
  size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Tahoma; FONT-SIZE: 10pt">-----Original 
  Message-----<BR><B><SPAN style="FONT-WEIGHT: bold">From:</SPAN></B> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net]<B><SPAN 
  style="FONT-WEIGHT: bold">On Behalf Of </SPAN></B>Harper, Patrick<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Sent:</SPAN></B> Thursday, April 08, 2004 1:37 
  PM<BR><B><SPAN style="FONT-WEIGHT: bold">To:</SPAN></B> pmartin@...11616...1...; 
  snort-users@lists.sourceforge.net<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Subject:</SPAN></B> RE: [Snort-users] Setting up 
  notifications in Snort</SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT face="Times New Roman" 
  size=3><SPAN style="FONT-SIZE: 12pt"><![if !supportEmptyParas]> <![endif]><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=blue face=Arial 
  size=2><SPAN style="COLOR: blue; FONT-FAMILY: Arial; FONT-SIZE: 10pt">4 of us 
  here in Dallas want to work on a perl script that can be run as a cron job and 
  mail a summery of events form a specified time period.  but there is no 
  time frame on that.  you can use swatch for e-mail alerts.  I tried 
  it some time ago but have slept since then and do not remember much about 
  it.  </SPAN></FONT><FONT color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black 
  face="Times New Roman" size=3><SPAN 
  style="COLOR: black; FONT-SIZE: 12pt"> </SPAN></FONT><FONT 
  color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=blue face=Arial 
  size=2><SPAN style="COLOR: blue; FONT-FAMILY: Arial; FONT-SIZE: 10pt">For your 
  second question that is dependent on your environment, the location of your 
  sensors, and what you want to see.  do you want to see only alerts for 
  software that you are running (i.e. apache only because you have no iis, then 
  turn off all the iis rules, do that for the entire rule set).  Do you 
  have a sensor on the outside of your firewall and want to see all malicious 
  traffic, turn all of them)  I personally prefer a trim rule set that 
  matches what I have on my network.</SPAN></FONT><FONT color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black 
  face="Times New Roman" size=3><SPAN style="COLOR: black; FONT-SIZE: 12pt"><![if !supportEmptyParas]> <![endif]></SPAN></FONT><FONT 
  color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P><!-- Converted from text/plain format -->
  <P style="MARGIN-LEFT: 0.5in"><FONT color=black face="Times New Roman" 
  size=2><SPAN style="COLOR: black; FONT-SIZE: 10pt">Patrick S. Harper | CISSP 
  RHCT MCSE<BR>Information Security Engineer<BR>patrick.harper@...11593... 
  </SPAN></FONT><FONT color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black 
  face="Times New Roman" size=3><SPAN 
  style="COLOR: black; FONT-SIZE: 12pt"> </SPAN></FONT><FONT 
  color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black 
  face="Times New Roman" size=3><SPAN style="COLOR: black; FONT-SIZE: 12pt"><![if !supportEmptyParas]> <![endif]></SPAN></FONT><FONT 
  color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <DIV align=center class=MsoNormal 
  style="MARGIN-LEFT: 0.5in; TEXT-ALIGN: center"><FONT color=black 
  face="Times New Roman" size=3><SPAN style="COLOR: black; FONT-SIZE: 12pt">
  <HR align=center SIZE=2 width="100%">
  </SPAN></FONT></DIV>
  <P class=MsoNormal 
  style="MARGIN-BOTTOM: 12pt; MARGIN-LEFT: 0.5in; MARGIN-RIGHT: 0in; mso-margin-top-alt: 0in"><B><FONT 
  color=black face=Tahoma size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Tahoma; FONT-SIZE: 10pt; FONT-WEIGHT: bold">From:</SPAN></FONT></B><FONT 
  color=black face=Tahoma size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Tahoma; FONT-SIZE: 10pt"> Paul Martin 
  [mailto:pmartin@...11611...] <BR><B><SPAN 
  style="FONT-WEIGHT: bold">Sent:</SPAN></B> Thursday, April 08, 2004 12:02 
  PM<BR><B><SPAN style="FONT-WEIGHT: bold">To:</SPAN></B> 
  snort-users@lists.sourceforge.net<BR><B><SPAN 
  style="FONT-WEIGHT: bold">Subject:</SPAN></B> [Snort-users] Setting up 
  notifications in Snort</SPAN></FONT><FONT color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black face=Arial 
  size=2><SPAN style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt">I have 
  recently implemented Snort v2.1.2 on 2 boxes, reporting to one central MySQL 
  database, using ACID for logfile analysis<SPAN 
  style="mso-spacerun: yes">  </SPAN>We'd like to take a more proactive 
  stance towards intrusion detection and have a way to have Snort (or a plugin) 
  notify us via SNMP/email/SMS/etc whenever a certain condition is met.<SPAN 
  style="mso-spacerun: yes">  </SPAN>I've looked at SnortSNMP, but it 
  doesn't seem to have anything beyond 2.1.0 as far as functionality.<SPAN 
  style="mso-spacerun: yes">  </SPAN>I'd hate to drop back software 
  versions for the sake of SNMP, but will if I have to.<SPAN 
  style="mso-spacerun: yes">  </SPAN>My question is 
  twofold:</SPAN></FONT><FONT color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black face=Arial 
  size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt"> </SPAN></FONT><FONT 
  color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal 
  style="MARGIN-LEFT: 1in; TEXT-INDENT: -0.25in; tab-stops: list .5in"><FONT 
  color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-fareast-font-family: Arial">1)</SPAN></FONT><FONT 
  color=black size=1><SPAN 
  style="COLOR: black; FONT-SIZE: 7pt; mso-fareast-font-family: Arial">       
  </SPAN></FONT><FONT color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt">What plugins are out 
  there that will allow Snort to notify me when a certain condition is met?<SPAN 
  style="mso-spacerun: yes">  </SPAN>Don't care how (SNMP/email/whatever), 
  just need a method of notification.</SPAN></FONT><FONT color=black face=Arial 
  size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal 
  style="MARGIN-LEFT: 1in; TEXT-INDENT: -0.25in; tab-stops: list .5in"><FONT 
  color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-fareast-font-family: Arial">2)</SPAN></FONT><FONT 
  color=black size=1><SPAN 
  style="COLOR: black; FONT-SIZE: 7pt; mso-fareast-font-family: Arial">       
  </SPAN></FONT><FONT color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt">Does anyone have a 
  recommended setup for Snort?<SPAN style="mso-spacerun: yes">  </SPAN>I 
  know that it's going to be unique to every situation, but there have to be 
  some accepted practices in terms of setup.<SPAN 
  style="mso-spacerun: yes">  </SPAN>As it stands, everything that comes 
  across the wire seems to be getting logged, which is good, but I need to trim 
  it down.<SPAN style="mso-spacerun: yes">  </SPAN>Thoughts, 
  anyone?</SPAN></FONT><FONT color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black face=Arial 
  size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt"> </SPAN></FONT><FONT 
  color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black face=Arial 
  size=2><SPAN style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt">Thanks 
  for any assistance.</SPAN></FONT><FONT color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black face=Arial 
  size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt"> </SPAN></FONT><FONT 
  color=black face=Arial size=2><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><st2:PersonName 
  style="BACKGROUND-IMAGE: url(res://ietag.dll/#34/#1001); BACKGROUND-POSITION: left bottom; BACKGROUND-REPEAT: repeat-x" 
  tabIndex=0><st1:GivenName><FONT color=black face=Arial size=2><SPAN 
  style="mso-no-proof: yes"><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt">Paul</SPAN></st1:GivenName><SPAN 
  style="mso-no-proof: yes"> </SPAN><st1:Sn><SPAN 
  style="mso-no-proof: yes">Martin</SPAN></SPAN></FONT></st1:Sn></st2:PersonName><SPAN 
  style="mso-no-proof: yes"><FONT color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P></SPAN>
  <P class=MsoNormal style="MARGIN-LEFT: 0.5in"><FONT color=black face=Arial 
  size=2><SPAN style="mso-no-proof: yes"><SPAN 
  style="COLOR: black; FONT-FAMILY: Arial; FONT-SIZE: 10pt">Network 
  Technician</SPAN></SPAN></FONT><SPAN style="mso-no-proof: yes"><FONT 
  color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P></SPAN>
  <P class=MsoNormal 
  style="MARGIN-BOTTOM: 12pt; MARGIN-LEFT: 0.5in; MARGIN-RIGHT: 0in; mso-margin-top-alt: 0in"><FONT 
  color=black face="Times New Roman" size=3><SPAN 
  style="COLOR: black; FONT-SIZE: 12pt"><BR><BR><BR><BR>Disclaimer:<BR>This 
  electronic message, including any attachments, is confidential and intended 
  solely for use of the intended recipient(s). This message may contain 
  information that is privileged or otherwise protected from disclosure by 
  applicable law. Any unauthorized disclosure, dissemination, use or 
  reproduction is strictly prohibited. If you have received this message in 
  error, please delete it and notify the sender immediately. <BR 
  style="mso-special-character: line-break"><![if !supportLineBreakNewLine]><BR 
  style="mso-special-character: line-break"><![endif]></SPAN></FONT><FONT 
  color=black><SPAN 
  style="COLOR: black; mso-color-alt: windowtext"><o:p></o:p></SPAN></FONT></P></DIV></BLOCKQUOTE></BODY></HTML>