Something else I would throw out is to use something like SEC (Simple
Event Correlator) to watch the log and then trigger on an event. 
This way it's completely detached from Snort.<br>
<br>
I use it quite extensively and have found it to be an invaluable tool.<br>
<br>
<a href="http://sourceforge.net/projects/simple-evcorr/">http://sourceforge.net/projects/simple-evcorr/</a><br><br>
HTH, <br>
Sam<br>
<br><div><span class="gmail_quote">On 10/13/05, <b class="gmail_sendername">Simon Biles</b> <<a href="mailto:simon.biles@...11827...">simon.biles@...11827...</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi,<br><br>Use alert_unixsock and alert to a socket, then write a small program<br>to listen to the socket, and run whatever application that you choose<br>upon reciept of the trigger.<br><br>Below is a quick bit of Perl to listen to a socket ...
<br><br>#!/usr/bin/perl<br><br># Include the socket libraries<br><br>use IO::Socket;<br><br># This is the template to capture the Alert Name<br># Edit this to get the additional packets.<br><br>$TEMPLATE = "A256 A*";
<br><br># Release the socket if it already exists<br><br>unlink "/var/log/snort/snort_alert";<br><br># In case of user termination - exit gracefully.<br><br>$SIG{TERM} = $SIG{INT} = sub { exit 0 };<br><br># Open up the socket.
<br>my $client = IO::Socket::UNIX->new(Type => SOCK_DGRAM,<br>                  
Local => "/var/log/snort/snort_alert")<br>  or die "Socket: $@";<br><br>print STDOUT "Socket Open ... \n";<br><br># Loop receiving data from the socket, pulling out the<br># alert name and printing it.
<br><br>my $data;<br><br>while ( true ) {<br>    recv($client,$data,1024,0);<br>    @FIELDS = unpack($TEMPLATE, $data);<br><br># Insert your code here to do whatever ....<br><br>    print "@FIELDS[0] \n";<br><br>
}<br><br># At termination close up the socket again.<br><br>END {unlink "/var/log/snort/snort_alert";}<br><br>Have fun,<br><br>Cheers,<br><br>Si<br><br>On 10/12/05, Matt Kettler <<a href="mailto:mkettler@...4185...8...">
mkettler@...4108...</a>> wrote:<br>> Gaston Martres wrote:<br>> > Hi.<br>> ><br>> > I was wondering if is possible to execute an external program when a<br>> > event or alert in snort is triggered.
<br>> ><br>> > I was looking on google, but, or I have searched in a wrong way or this<br>> > is not possible.<br>><br>> It is not possible. See the FAQ on getting snort to email you.<br>><br>> Executing a process directly from snort is so expensive it would bog snort
<br>> down<br>> and cause it to miss a very substantial number of packets.<br>><br>><br>> In general a better way is to use swatch or logsurfer to monitor the snort<br>> logs<br>> and trigger processes. This is a little less "real-time", but it should
<br>> happen<br>> within a hundred milliseconds or so.<br>><br>> <a href="http://www.snort.org/docs/faq/1Q05/node94.html">http://www.snort.org/docs/faq/1Q05/node94.html</a><br>><br>><br>> -------------------------------------------------------
<br>> This SF.Net email is sponsored by:<br>> Power Architecture Resource Center: Free content, downloads, discussions,<br>> and more. <a href="http://solutions.newsforge.com/ibmarch.tmpl">http://solutions.newsforge.com/ibmarch.tmpl
</a><br>> _______________________________________________<br>> Snort-users mailing list<br>> <a href="mailto:Snort-users@...3783...net">Snort-users@lists.sourceforge.net</a><br>> Go to this URL to change user options or unsubscribe:
<br>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>> Snort-users list archive:<br>> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">
http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>><br><br><br>--<br>Simon Biles<br>CISSP, OPSA, BS7799 Lead Auditor, MBCS<br><br><br>-------------------------------------------------------<br>This SF.Net
 email is sponsored by:<br>Power Architecture Resource Center: Free content, downloads, discussions,<br>and more. <a href="http://solutions.newsforge.com/ibmarch.tmpl">http://solutions.newsforge.com/ibmarch.tmpl</a><br>_______________________________________________
<br>Snort-users mailing list<br><a href="mailto:Snort-users@...4137...orge.net">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">
https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?listsnort-users">http://www.geocrawler.com/redir-sf.php3?listsnort-users</a><br>
</blockquote></div><br>