<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<TITLE>Re: [Snort-users] Acid shows sensors as 0</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>Use nmap or something to do a scan against the box or a short range of IPs on your network and see if snort detects anything.<BR>
<BR>
<BR>
<BR>
<BR>
-----Original Message-----<BR>
From: snort-users-admin@lists.sourceforge.net <snort-users-admin@...1844...ourceforge.net><BR>
To: Kevin Johnson <kjohnson@...12400...><BR>
CC: Snort Users <snort-users@lists.sourceforge.net><BR>
Sent: Tue Nov 23 14:31:11 2004<BR>
Subject: Re: [Snort-users] Acid shows sensors as 0<BR>
<BR>
Maybe that might be it. How can I test that is really doing something ?<BR>
<BR>
<BR>
On Tue, 23 Nov 2004 15:28:03 -0500, Kevin Johnson<BR>
<kjohnson@...12400...> wrote:<BR>
> On Tue, 2004-11-23 at 15:21, Gentian Hila wrote:<BR>
><BR>
><BR>
> > The line that configures snort to connect in snort.conf is uncommented<BR>
> > and is like this:<BR>
> ><BR>
> > output database: log, mysql, user=snort password=******<BR>
> >  dbname=snort host=localhost<BR>
> ><BR>
> > (******  is the password) and snort connects as snort user in Mysql<BR>
> > and db name in mysql is snort.<BR>
> ><BR>
> > I have an empty event table.<BR>
> ><BR>
> > mysql> select * from event;<BR>
> > Empty set (0.00 sec)<BR>
> ><BR>
> > My question is: when you setup snort and acid, is it supposed to work<BR>
> > normally or do you have to configure other stuff and rules. My guess<BR>
> > is that it should work, even though it might need to be tuned. But<BR>
> > that's another story.<BR>
><BR>
> It should work normally.  How long has Snort been running?  I would have<BR>
> to guess that it hasn't seen anything that it considered something to<BR>
> alert on.  Until it sees something, for example someone accessing a web<BR>
> server and trying to get cmd.exe,  that your rules would fire on, it<BR>
> doesn't report anything for ACID/BASE to display.<BR>
><BR>
><BR>
><BR>
> Kevin<BR>
> -------------------<BR>
> BASE Project Lead<BR>
> <A HREF="http://sourceforge.net/projects/secureideas">http://sourceforge.net/projects/secureideas</A><BR>
> <A HREF="http://base.secureideas.net">http://base.secureideas.net</A><BR>
> The next step in IDS analysis!<BR>
><BR>
><BR>
><BR>
<BR>
<BR>
-------------------------------------------------------<BR>
SF email is sponsored by - The IT Product Guide<BR>
Read honest & candid reviews on hundreds of IT Products from real users.<BR>
Discover which products truly live up to the hype. Start reading now.<BR>
<A HREF="http://productguide.itmanagersjournal.com/">http://productguide.itmanagersjournal.com/</A><BR>
_______________________________________________<BR>
Snort-users mailing list<BR>
Snort-users@lists.sourceforge.net<BR>
Go to this URL to change user options or unsubscribe:<BR>
<A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>
Snort-users list archive:<BR>
<A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR>
</FONT>
</P>

</BODY>
</HTML>