<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.6617.47">
<TITLE>Solved Can snort send alerts to the mysql database without writing an output file?</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/rtf format -->

<P><FONT SIZE=2 FACE="Arial">Question: Can snort send alerts to the mysql database without writing an output file?</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Solutions that did not work:</FONT>

<BR><FONT SIZE=2 FACE="Arial">a) When I run the above command line without -A none and -K none I get alerts sent to ids database</FONT>

<BR><FONT SIZE=2 FACE="Arial">i.e./usr/local/bin/snort -Dq -dev -o  -c /usr/local/etc/snort/snort.conf -i mi0 -u user -g group</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">b) When I run with the -A none  I get the pcap files but no alerts sent to ids database.</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">c) -Y option in FLoP /* I don't have FLoP installed */</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Solution that works:</FONT>

<BR><FONT SIZE=2 FACE="Arial">    /usr/local/bin/snort -Dq -de -o  -c /usr/local/etc/snort/snort.conf -i mi0 -u user -g group</FONT>

<BR><FONT SIZE=2 FACE="Arial">    sleep 2</FONT>

<BR><FONT SIZE=2 FACE="Arial">    rm /var/log/snort/alert</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">The previous snort administrator had this in his snort.sh file.</FONT>

<BR><FONT SIZE=2 FACE="Arial">No alert file is produced and logs are sent to the mysql database.</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Question: Is there a switch that will not produce an alert file and still send alerts to</FONT>

<BR><FONT SIZE=2 FACE="Arial">the mysql database? </FONT>

<BR><FONT SIZE=2 FACE="Arial">Question: Does the commercial version of snort software have this Denial of Service bug?</FONT>

<BR><FONT SIZE=2 FACE="Arial">The denial of service is a result of running out of disk space on the sensor.</FONT>

<BR><FONT SIZE=2 FACE="Arial">This happened  after a month when snort first was deployed a few years ago.</FONT>
</P>
<BR>

<P><FONT SIZE=2 FACE="Arial">Thank you for your help,</FONT>

<BR><FONT SIZE=2 FACE="Arial">Raymond</FONT>
</P>

</BODY>
</HTML>