<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7226.0">
<TITLE>Snort not logging to syslog</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/rtf format -->

<P><FONT SIZE=2 FACE="Arial">Hi all,</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">i have installed snort on a debian box with two sensors.</FONT>

<BR><FONT SIZE=2 FACE="Arial">Snort is running fine, BASE is running fine and i'm currently working on the further configuration (signatures and so on).</FONT></P>

<P><FONT SIZE=2 FACE="Arial">One important thing for us is to get some kind of eMail if there is an alert. After searching for some possibilities to implement that feature i found fwlogwatch.</FONT></P>

<P><FONT SIZE=2 FACE="Arial">I now have running both snort-mysql and fwlogwatch, installed with debian packets of Sarge (stable).</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">The problem is: snort logs to MySQL, but not to syslog.</FONT>

<BR><FONT SIZE=2 FACE="Arial">I activated </FONT>

<BR><FONT SIZE=2 FACE="Arial">output alert_syslog: LOG_AUTH LOG_ALERT</FONT>

<BR><FONT SIZE=2 FACE="Arial">in my snort.conf but there are no entries made in /var/log/syslog. I can only see the starting / stopping messages of snort...</FONT></P>

<P><FONT SIZE=2 FACE="Arial">Is there a problem when both ouput plugins (database and alert_syslog) are activated?</FONT>

<BR><FONT SIZE=2 FACE="Arial">I read about starting snort with -s parameter, but if I do that snort throws an error that parameters are overriding config or so. Sorry, don't remember exactly.</FONT></P>

<P><FONT SIZE=2 FACE="Arial">fwlogwatch should be setup correctly, i can view the web interface and i get the daily reports (which are empty). But because snort doesn't log to syslog it can't send me an eMail... ;)</FONT></P>

<P><FONT SIZE=2 FACE="Arial">It would be great if someone could give me a hint on whats wrong. If more information is needed please tell me!</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Thanks for your time,</FONT>

<BR><FONT SIZE=2 FACE="Arial">stephan</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Arial">P.S.: this is my first post in a mailing list so i hope i did everything correctly ;)</FONT>
</P>

</BODY>
</HTML>