<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7226.0">
<TITLE>RE: Perl script that Generates Snort Raw Events</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->
<BR>
<BR>
<BR>

<P><FONT SIZE=2>-----Original Message-----<BR>
From: Kamal Ahmed<BR>
Sent: Fri 9/24/2004 11:26 AM<BR>
To: 'snort-users@lists.sourceforge.net'<BR>
Subject: Perl script that Generates Snort Raw Events<BR>
<BR>
Hi,<BR>
<BR>
I would like to know if there is a Perl script that Generates Snort Raw Events, e.g. :<BR>
<BR>
Full Format:<BR>
<BR>
07/16/-2-08:06:26.464649  [**] [1:716:5] TELNET access [**] [Classification: Not Suspicious Traffic] [Priority: 3] {TCP} 172.16.112.50:23 -> 135.13.216.191:1026<BR>
07/16/-2-08:23:39.630057  [**] [1:716:5] TELNET access [**] [Classification: Not Suspicious Traffic] [Priority: 3] {TCP} 172.16.112.50:23 -> 135.13.216.191:1588<BR>
07/16/-2-08:34:18.399673  [**] [117:1:1] (spp_portscan2) Portscan detected from 195.73.151.50: 6 targets 6 ports in 19 seconds [**] {TCP} 195.73.151.50:2111 -> 172.16.113.105:25<BR>
<BR>
Fast Format:<BR>
<BR>
06/01/-2-08:04:50.992467  [**] [117:1:1] (spp_portscan2) Portscan detected from 172.16.114.148: 1 targets 21 ports in 14 seconds [**] {TCP} 172.16.114.148:20 -> 194.7.248.153:1812<BR>
06/01/-2-08:05:07.895030  [**] [1:716:5] TELNET access [**] [Classification: Not Suspicious Traffic] [Priority: 3] {TCP} 172.16.112.50:23 -> 135.8.60.182:1941<BR>
06/01/-2-08:06:48.768633  [**] [117:1:1] (spp_portscan2) Portscan detected from 197.218.177.69: 1 targets 21 ports in 12 seconds [**] {TCP} 197.218.177.69:20 -> 172.16.113.204:1306<BR>
06/01/-2-08:07:13.845382  [**] [1:716:5] TELNET access [**] [Classification: Not Suspicious Traffic] [Priority: 3] {TCP} 172.16.112.50:23 -> 135.8.60.182:2064<BR>
06/01/-2-08:16:27.920109  [**] [117:1:1] (spp_portscan2) Portscan detected from 135.8.60.182: 6 targets 6 ports in 5 seconds [**] {TCP} 135.8.60.182:2120 -> 172.16.114.168:25<BR>
06/01/-2-08:21:44.335582  [**] [117:1:1] (spp_portscan2) Portscan detected from 135.13.216.191: 6 targets 7 ports in 6 seconds [**] {TCP} 135.13.216.191:2186 -> 172.16.114.169:25<BR>
<BR>
As well as Syslog Format ( I do not have any example)<BR>
<BR>
<BR>
I would appreciate any info/help.<BR>
<BR>
Thanks,<BR>
<BR>
-Kamal.<BR>
<BR>
</FONT>
</P>

</BODY>
</HTML>