<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">


<meta name=ProgId content=Word.Document>
<meta name=Generator content="Microsoft Word 10">
<meta name=Originator content="Microsoft Word 10">
<link rel=File-List href="cid:filelist.xml@...13014...">
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="time"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="date"/>
<!--[if gte mso 9]><xml>
 <o:OfficeDocumentSettings>
  <o:DoNotRelyOnCSS/>
 </o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:DocumentKind>DocumentEmail</w:DocumentKind>
  <w:EnvelopeVis/>
  <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel>
 </w:WordDocument>
</xml><![endif]--><!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;
        mso-font-charset:0;
        mso-generic-font-family:swiss;
        mso-font-pitch:variable;
        mso-font-signature:1627421319 -2147483648 8 0 66047 0;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {mso-style-parent:"";
        margin:0in;
        margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;
        text-underline:single;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;
        text-underline:single;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        mso-style-noshow:yes;
        mso-ansi-font-size:10.0pt;
        mso-bidi-font-size:10.0pt;
        font-family:Arial;
        mso-ascii-font-family:Arial;
        mso-hansi-font-family:Arial;
        mso-bidi-font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;
        mso-header-margin:.5in;
        mso-footer-margin:.5in;
        mso-paper-source:0;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 10]>
<style>
 /* Style Definitions */ 
 table.MsoNormalTable
        {mso-style-name:"Table Normal";
        mso-tstyle-rowband-size:0;
        mso-tstyle-colband-size:0;
        mso-style-noshow:yes;
        mso-style-parent:"";
        mso-padding-alt:0in 5.4pt 0in 5.4pt;
        mso-para-margin:0in;
        mso-para-margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:10.0pt;
        font-family:"Times New Roman";}
</style>
<![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple style='tab-interval:.5in'>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>There is the problem.<span
style='mso-spacerun:yes'>  </span>Take out the –A fast part.<span
style='mso-spacerun:yes'>  </span>When you use a logging method from the
command line (the –A options), it overrides the logging in the
configuration file.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 face=Tahoma><span
style='font-size:10.0pt;font-family:Tahoma'>-----Original Message-----<br>
<b><span style='font-weight:bold'>From:</span></b>
snort-users-admin@lists.sourceforge.net
[mailto:snort-users-admin@lists.sourceforge.net] <b><span style='font-weight:
bold'>On Behalf Of </span></b>sEc nErD<br>
<b><span style='font-weight:bold'>Sent:</span></b> </span></font><st1:date
Month="2" Day="9" Year="2005"><font size=2 face=Tahoma><span style='font-size:
 10.0pt;font-family:Tahoma'>Wednesday, February 09, 2005</span></font></st1:date><font
size=2 face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'> </span></font><st1:time
Hour="9" Minute="52"><font size=2 face=Tahoma><span style='font-size:10.0pt;
 font-family:Tahoma'>9:52 AM</span></font></st1:time><font size=2 face=Tahoma><span
style='font-size:10.0pt;font-family:Tahoma'><br>
<b><span style='font-weight:bold'>To:</span></b> Harper, Patrick; Robert
Spangler; snort-users@lists.sourceforge.net<br>
<b><span style='font-weight:bold'>Subject:</span></b> RE: [Snort-users] Snort
and MySQL </span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'><o:p> </o:p></span></font></p>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>Thanks for your reply<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>i hav snort started as <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>/usr/sbin/snort -A fast -b -d -D -i eth0 -u snort -g
snort -c /etc/snort/snort.conf -l /var/log/snort<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'> <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>Could you tell me how to restart it...coz am thinking
/etc/init.d/snort restart<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>                                 
or /etc/init.d/snortd restart<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'> <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>wht did is this??<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>if i do this will it still have the original
parameters like snort -A -b -D and stuff<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>thanks<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'><br>
<b><i><span style='font-weight:bold;font-style:italic'>"Harper,
Patrick" <Patrick.Harper@...11593...></span></i></b> wrote:<o:p></o:p></span></font></p>

</div>

<blockquote style='border:none;border-left:solid #1010FF 1.5pt;padding:0in 0in 0in 4.0pt;
margin-left:3.75pt;margin-top:5.0pt;margin-bottom:5.0pt'>

<p class=MsoNormal style='mso-margin-top-alt:0in;margin-right:0in;margin-bottom:
12.0pt;margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>If you just made the change, yes, restart it. <br>
<br>
Have you set up the user snort with the password of snort (or whatever<br>
is in your snort.conf) in mysql yet? Have you set your permissions and<br>
tables too?<br>
<br>
-----Original Message-----<br>
From: sEc nErD [mailto:umkcguy1978@...131...] <br>
Sent: </span></font><st1:date Month="2" Day="8" Year="2005">Tuesday, February
 08, 2005</st1:date> <st1:time Hour="20" Minute="6">8:06 PM</st1:time><br>
To: Robert Spangler; snort-users@lists.sourceforge.net<br>
Subject: Re: [Snort-users] Snort and MySQL <br>
<br>
ok below are the details of whtz up with my snort...it<br>
is having all alerts in /var/log/snort/alert file<br>
<br>
but just that nothing in mysql database.one thing<br>
happened was mysql was not running ,then i started<br>
mysqld from init.d <br>
<br>
since i started it aftre i was running snort..do i<br>
need to stop and restart snort??so that it connects to<br>
the database<br>
<br>
if yes what would be the command for that!!<br>
<br>
<br>
<br>
<br>
<br>
[root@...274... snort]# ps -ef| grep snort<br>
snort 1791 1 0 <st1:time Hour="8" Minute="42">08:42</st1:time> ? <st1:time
Hour="0" Minute="0">00:00:46</st1:time><br>
/usr/sbin/snort -A fast -b -d -D -i eth0 -u snort -g<br>
snort -c /etc/snort/snort.conf -l /var/log/snort<br>
<br>
[root@...274... snort]# ps -ef| grep mysql<br>
root 2029 1 0 <st1:time Hour="8" Minute="42">08:42</st1:time> ? <st1:time
Hour="0" Minute="0">00:00:00</st1:time><br>
/bin/sh /usr/bin/safe_mysqld<br>
--defaults-file=/etc/my.cnf<br>
mysql 2053 2029 0 <st1:time Hour="8" Minute="42">08:42</st1:time> ? <st1:time
Hour="0" Minute="0">00:00:00</st1:time><br>
/usr/libexec/mysqld --defaults-file=/etc/my.cnf<br>
--basedir=/usr --datadir=/var/lib/mysql --user=mysql<br>
--pid-file=/var/run/mysqld/mysqld.pid --skip-locking<br>
<br>
<br>
<br>
line in my snort.conf that i have uncommented:<br>
<br>
output database: log, mysql, user=snort password=snort<br>
dbname=snort host=localhost<br>
<br>
<br>
output from /var/log/messages<br>
Feb 8 <st1:time Hour="14" Minute="49">14:49:48</st1:time> localhost
sshd(pam_unix)[3049]:<br>
session opened for user root by (uid=0)<br>
Feb 8 <st1:time Hour="15" Minute="15">15:15:30</st1:time> localhost mysqld:
Starting MySQL: <br>
succeeded<br>
Feb 8 <st1:time Hour="16" Minute="32">16:32:24</st1:time> localhost kernel:
UDF-fs: No VRS found<br>
Feb 8 16:3 <st1:time Hour="15" Minute="59">3:59</st1:time> localhost
sshd(pam_unix)[2894]:<br>
session closed for user root<br>
Feb 8 <st1:time Hour="16" Minute="34">16:34:01</st1:time> localhost
sshd(pam_unix)[3049]:<br>
session closed for user root<br>
Feb 8 <st1:time Hour="16" Minute="34">16:34:47</st1:time> localhost
sshd(pam_unix)[3290]:<br>
session opened for user root by (uid=0)<br>
Feb 8 <st1:time Hour="16" Minute="58">16:58:15</st1:time> localhost
sshd(pam_unix)[3375]:<br>
session opened for user root by (uid=0)<br>
Feb 8 <st1:time Hour="17" Minute="6">17:06:49</st1:time> localhost
sshd(pam_unix)[3290]:<br>
session closed for user root<br>
Feb 8 <st1:time Hour="17" Minute="6">17:06:54</st1:time> localhost
sshd(pam_unix)[3375]:<br>
session closed for user root<br>
Feb 8 <st1:time Hour="19" Minute="56">19:56:25</st1:time> localhost
sshd(pam_unix)[3552]:<br>
session opened for user root by (uid=0)<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
--- Robert Spangler <BMS@...13012...>wrote:<br>
<br>
> On <st1:date Month="8" Day="29" Year="2004">Sun August 29 2004</st1:date> <st1:time
Hour="13" Minute="35">13:35</st1:time>, Robert Spangler wrote:<br>
> <br>
> > I seem to be having a problem setting up snort to<br>
> use MySQL database.<br>
> <br>
> I had an error in my snort.conf file<br>
> <br>
> > snort.conf has the following entry:<br>
> ><br>
> > <br>
> ===================================================<br>
> > output database: log, MySQL, user=snort,<br>
> password=******** dbname=snort<br>
> > host=localhost<br>
> > <br>
> ===================================================<br>
> <br>
> The above was placed in the wrong area of the<br>
> config. When this was corrected <br>
> snort seemed to run without any problems.<br>
> <br>
> <br>
> NOW<br>
> <br>
> <br>
> I don't think things are running correctly. I run a<br>
> scan against my machine <br>
> using CIS and it does it's reporting but I never see<br>
> anything in ACID or <br>
> OpenAanval.<br>
> <br>
> I used the following quick setup guide written by<br>
> Patrick Harper at <br>
> http://www.internetsecurityguru.com/<br>
> <br>
> <br>
> -- <br>
> <br>
> Regards<br>
> Robert<br>
> <br>
> Smile..... It increases your face value.<br>
> <br>
> <br>
> <br>
><br>
-------------------------------------------------------<br>
> This SF.Net email is sponsored by BEA Weblogic<br>
> Workshop<br>
> FREE Java Enterprise J2EE developer tools!<br>
> Get your free copy of BEA WebLogic Workshop 8.1<br>
> today.<br>
><br>
http://ads.osdn.com/?ad_id=5047&alloc_id=10808&op=click<br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> Snort-users@lists.sourceforge.net<br>
> Go to this URL to change user options or<br>
> unsubscribe:<br>
><br>
https://lists.sourceforge.net/lists/listinfo/snort-users<br>
> Snort-users list archive:<br>
><br>
http://www.geocrawler.com/redir-sf.php3?list=snort-users<br>
> <br>
<br>
<br>
__________________________________________________<br>
Do You Yahoo!?<br>
Tired of spam? Yahoo! Mail has the best spam protection around <br>
http://mail.yahoo.com <br>
<br>
<br>
-------------------------------------------------------<br>
SF email is sponsored by - Th e IT Product Guide<br>
Read honest & candid reviews on hundreds of IT Products from real users.<br>
Discover which products truly live up to the hype. Start reading now.<br>
http://ads.osdn.com/?ad_id=6595&alloc_id=14396&op=click<br>
_______________________________________________<br>
Snort-users mailing list<br>
Snort-users@lists.sourceforge.net<br>
Go to this URL to change user options or unsubscribe:<br>
https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users list archive:<br>
http://www.geocrawler.com/redir-sf.php3?list=snort-users<br>
<br>
<br>
<br>
<br>
<br>
<br>
Disclaimer:<br>
This electronic message, including any attachments, is confidential and
intended solely for use of the intended recipient(s). This message may contain
information that is privileged or otherwise protected from disclosure by
applicable law. Any unauthorized disclosure, dissemination, use or reproduction
is strictly prohibited. If you have received this message in error, please
delete it an d notify the sender immediately. <br>
<br style='mso-special-character:line-break'>
<![if !supportLineBreakNewLine]><br style='mso-special-character:line-break'>
<![endif]><o:p></o:p></p>

</blockquote>

<p style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>__________________________________________________<br>
Do You Yahoo!?<br>
Tired of spam? Yahoo! Mail has the best spam protection around <br>
http://mail.yahoo.com <o:p></o:p></span></font></p>

</div>

</body>

</html>