<br><font size=2 face="sans-serif">Martin,</font>
<br>
<br><font size=2 face="sans-serif">Thanks for the reply.  It does
look like I overlooked the distinction between logging and alerting in
the product.  Is there a good guide somewhere that can outline the
distinction between the two ?  I went on the Sourcefire 'Building
& Operating' course recently but honestly didn't pick up the distinction
in the course material.</font>
<br>
<br><font size=2 face="sans-serif">I understood that snort matched packets
against rules and if it was interesting (i.e. a match) caused the detail
to be logged and if it wasn't interesting just did nothing.  I didn't
pick up that it could log *or* alert, presumably depending on the rule
definition.  This may well be covered in some of the rule documentation,
but I'm still trying to get snort to generate SNMP or SMTP alerts before
moving on to understanding the way the rules work.  Maybe I need to
read the rules stuff first.</font>
<br>
<br><font size=2 face="sans-serif">I had a look at swatch and installed
it, but it looks like it comes config-free.  I don't mind spending
time trying to work out what the config should be, but are there any snort-specific
config files around ?</font>
<br>
<br><font size=2 face="sans-serif">Thanks,</font>
<br>
<br><font size=2 face="sans-serif">David</font>
<br><font size=2 face="sans-serif">=================================<br>
David Ryan<br>
IT Security Engineer, Global IT Security<br>
Quintiles, Global IT - Infrastructure, QDUB<br>
<br>
david.ryan@...14057...<br>
v:  +353-1-819-5186, GMT+0<br>
m: +353-87-124-9108<br>
=================================</font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>Martin Roesch <roesch@...1935...></b>
</font>
<p><font size=1 face="sans-serif">10/05/2007 16:31</font>
<td width=59%>
<table width=100%>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td valign=top><font size=1 face="sans-serif">David.Ryan@...13912...</font>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td valign=top><font size=1 face="sans-serif">snort-users@lists.sourceforge.net</font>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td valign=top><font size=1 face="sans-serif">Re: [Snort-users] Alerting
in near-real-time</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><font size=2><tt>-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
Snort has two output facilities, alerting and logging.  It sounds
 <br>
like you've got the logging facility pretty much figured out but you  <br>
haven't quite gotten the alerting part yet.<br>
<br>
When you start up a Snort instance, you can setup both the logging  <br>
output option (like unified) as well as the alerting output option.  
<br>
Generally if you want real-time alerts you can either setup unified  <br>
alerting to go with unified logging and have a second instance of  <br>
Barnyard running to process the alert data and inform you via your  <br>
selected method or you can go direct to one of the other alerting  <br>
output facilities.<br>
<br>
The easy answer is to send alerts someplace like syslog and use a  <br>
syslog monitor like swatch to inform you via email when an even that  <br>
you're interested has happened.  That way you can be pretty specific
 <br>
about what kinds of alerts you get informed about immediately and  <br>
which ones are lower priority (i.e. in the database).<br>
<br>
Another option is to use a monitor like sguil that'll give you a real-
<br>
time view into the database, but that's a little more complicated to  <br>
get setup while at the same time being a lot more useful than syslog...<br>
<br>
                
-Marty<br>
<br>
On May 10, 2007, at 10:24 AM, David.Ryan@...13912... wrote:<br>
<br>
><br>
> Thanks to all on the list for their help to date.<br>
><br>
> I am still trying to get my head around something which I still  <br>
> can't understand in the overall snort model and I'm hoping someone
 <br>
> can set me straight on what I'm missing (or what I'm assuming  <br>
> incorrectly).  I may have asked this to the list before, but
I  <br>
> can't find it.  Apologies if I'm asking the same question again.<br>
><br>
> What I have got so far . . .  snort sniffs packets, matches those
 <br>
> packets against rules and can log the results via a variety of  <br>
> output plugins to various repositories.  It can log directly
to a  <br>
> variety of databases, but from an optimisation point of view it is
 <br>
> better to use unified output, pass that to something like barnyard
 <br>
> and have *it* log to the database.  Net result is that events
are  <br>
> logged in the database.  This appears to be the end of snorts
 <br>
> involvement in the process from what I can see.<br>
><br>
> With the data now in the database something else needs to process
 <br>
> it further if any value is to come out of the data.  There are
 <br>
> various apps such as BASE, snortnotify, snortsnarf, etc .. . .  <br>
> which will either summarise the data and mail it out or else  <br>
> present it via a webpage for analysis.  The problem I'm thinking
of  <br>
> is that this is fine for trending or where there is someone looking
 <br>
> at the data to review recent traffic, but I don't see how this can
 <br>
> provide any sort of near-real-time alerting.<br>
><br>
> Say for example I am happy to look through reports every morning at
 <br>
> 0900 to see what happened yesterday, but I *really* *really* want
 <br>
> to get an SNMP or SMTP alert when rule # 3423 is triggered or the
 <br>
> string "bad stuff" is spotted.  What do people use
for this type of  <br>
> scenario ?  I understand that it would probably involve running
a  <br>
> query against the database every X minutes and acting on the  <br>
> results of the query, but I can't understand how there aren't a set
 <br>
> of apps out there (or at least ones I can find) that do this type
 <br>
> of thing as I would have thought it was a common requirement.<br>
><br>
> David<br>
> =================================<br>
> David Ryan<br>
> IT Security Engineer, Global IT Security<br>
> Quintiles, Global IT - Infrastructure, QDUB<br>
><br>
> david.ryan@...14057...<br>
> v:  +353-1-819-5186, GMT+0<br>
> m: +353-87-124-9108<br>
> =================================********************** IMPORTANT--
<br>
> PLEASE READ ************************ This electronic message,  <br>
> including its attachments, is COMPANY CONFIDENTIAL and may contain
 <br>
> PROPRIETARY or LEGALLY PRIVILEGED information. If you are not the
 <br>
> intended recipient, you are hereby notified that any use,  <br>
> disclosure, copying, or distribution of this message or any of the
 <br>
> information included in it is unauthorized and strictly prohibited.
 <br>
> If you have received this message in error, please immediately  <br>
> notify the sender by reply e-mail and permanently delete this  <br>
> message and its attachments, along with any copies thereof. If this
 <br>
> electronic message contains a zipped attachment and you do not have
 <br>
> a decompression tool, you may download unZIP (free of cost) from:
 <br>
> http://www.mk-net-work.com/us/uz/unzip.htm. Alternatively, you may
 <br>
> request that the attachment be resent in an uncompressed format.  <br>
> Thank you.  <br>
> **********************************************************************
<br>
> **<br>
> ----------------------------------------------------------------------
<br>
> ---<br>
> This SF.net email is sponsored by DB2 Express<br>
> Download DB2 Express C - the FREE version of DB2 express and take<br>
> control of your XML. No limits. Just data. Click to get it now.<br>
> http://sourceforge.net/powerbar/db2/ <br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> Snort-users@lists.sourceforge.net<br>
> Go to this URL to change user options or unsubscribe:<br>
> https://lists.sourceforge.net/lists/listinfo/snort-users<br>
> Snort-users list archive:<br>
> http://www.geocrawler.com/redir-sf.php3?list=snort-users<br>
<br>
- --<br>
Martin Roesch - Founder/CTO, Sourcefire Inc. - +1-410-290-1616<br>
Sourcefire - Security for the Real World - http://www.sourcefire.com<br>
Snort: Open Source IDP - http://www.snort.org<br>
<br>
<br>
<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.5 (Darwin)<br>
<br>
iD8DBQFGQzrOqj0FAQQ3KOARAg7jAJ0dMa5Mj7poECsWna7kw1IiYBgIoQCeOIgW<br>
TqF9Yn7Ewe3lyYlIqVhkJPo=<br>
=n8vr<br>
-----END PGP SIGNATURE-----<br>
</tt></font>
<br><pre>
**********************  IMPORTANT--PLEASE READ  ************************
This electronic message, including its attachments, is COMPANY CONFIDENTIAL
and may contain PROPRIETARY or LEGALLY PRIVILEGED information.  If you are 
not the intended recipient, you are hereby notified that any use, disclosure,
copying, or distribution of this message or any of the information included
in it is unauthorized and strictly prohibited.  If you have received this
message in error, please immediately notify the sender by reply e-mail and
permanently delete this message and its attachments, along with any copies
thereof. If this electronic message contains a zipped attachment and you do
not have a decompression tool, you may download unZIP (free of cost) from:
http://www.mk-net-work.com/us/uz/unzip.htm. Alternatively, you may request
that the attachment be resent in an uncompressed format.        Thank you. 
************************************************************************

</pre>