<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial size=2><SPAN class=881342300-28042004>I've been doing some 
experimenting using multiple senors and a single console box, and have noticed 
the following behavior</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=881342300-28042004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=881342300-28042004>Even if I set 
sensor_name in the output plugin list, it is not set in the list of sensors... 
rather, it will say "0.0.0.0:ce1" (the interface does not have an IP address and 
it is a gigabit nic interface named ce1)</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=881342300-28042004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=881342300-28042004>If I go into the 
"sensor" table in the snort database, I can change the hostname field to 
whatever I like.  That works until I restart the sensor... Unfortunately, 
it's only persistent until I restart the Snort sensor.  Then, a new 
interface is added to the list named "0.0.0.0:ce1" and all the events end up 
attached to that sensor id.</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=881342300-28042004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=881342300-28042004>Some advice would be 
appreciated!</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=881342300-28042004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=881342300-28042004>My output line looks 
like:</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN class=881342300-28042004>output database: 
alert, mysql, dbname=snort, sensor_name=test_ce0 user=snort password=foo 
host=10.99.99.99<BR></SPAN></FONT></DIV>
<P class=MsoNormal align=left><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Adam Muntner, 
CISSP </SPAN><BR></P>
<DIV> </DIV></BODY></HTML>