<div> </div>
<div> </div>
<div>Hi all,</div>
<div> </div>
<div> </div>
<div> </div>
<div>Thanks for your help.   I have few more questions about barnyard and Snort.</div>
<div> </div>
<div><br>0) Snort box will face the Internet. 400 Megabit  connection. How many alerts can I expect?  I want to estimate the disk requirements etc.</div>
<div>
<p><br>1) Is there any obvious mistake with this command line:<br>[root@...274... snort]# barnyard -c /etc/barnyard.conf  -s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map -p /etc/snort/classification.config -d /var/log/snort -f snort.log</p>

<p> </p>
<p>2) Why do I get this error?  How can I shut this off?  Is this warning a problem?<br>WARNING: Unable to extract timestamp file extension from 'snort.log'</p>
<p> </p>
<p>3) What is a good size to set for files below?   </p>
<p># Two arguments are supported.<br>#    filename - base filename to write to (current time_t is appended)<br>#    limit    - maximum size of spool file in MB (default: 128)<br>#<br> output alert_unified: filename snort.alert, limit 128<br>
 output log_unified: filename snort.log, limit 128</p>
<p>What happens when the file size (128) is reached? Does Snort die or restart?</p>
<p><br>4) I briefly looked at implementation of barnyard. I may be wrong here. How does barnyard poll the directory? Is it busy-looping?  </p>
<p>5) What is the difference between alert and log?  I am thinking alert is the human readable version.  What is the difference between snort.log and snort.log.timestamp?</p>
<p>5) Should I pass "alert" to barnyard?</p>
<p><br>6) output alert_unified: filename snort.alert, limit 128<br> output log_unified: filename snort.log, limit 128<br> <br>I see the file snort.log.   Why is snort.alert missing?</p>
<p>[root@...274... snort]# ls -l<br>total 464<br>-rw------- 1 root snort  14214 Jan 30 14:33 alert<br>-rw-r--r-- 1 root root  380336 Jan 30 14:33 snort.log<br>-rw------- 1 root root    1186 Jan 30 13:57 snort.log.1201719126<br>
-rw------- 1 root root    7410 Jan 30 14:01 snort.log.1201719513<br>-rw------- 1 root root   40834 Jan 30 14:33 snort.log.1201719677<br>[root@...274... snort]#</p>
<p><br>--Sudhakar<br></p></div>