Paul,<div><br></div><div>This goes for the config options for Snort too.  I notice a lot of people try and stack them all on the command line as well.</div><div><br></div><div>J<br><br><div class="gmail_quote">On Wed, Mar 11, 2009 at 11:54 PM, Paul Schmehl <span dir="ltr"><<a href="mailto:pschmehl_lists@...14358...">pschmehl_lists@...14358...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">--On March 11, 2009 8:53:59 PM -0500 Ian Masters <<a href="mailto:ian@...12163...">ian@...14535......</a>> wrote:<br>

<br>
><br>
> Bamm<br>
><br>
> Sorry for the delay replying.<br>
><br>
>> 1) grep -v '^#' barnyard.conf | grep -v ^$<br>
><br>
> config daemon<br>
> config localtime<br>
> config hostname: mail-op-snort<br>
> config interface: eth0<br>
> config filter: not port 22<br>
> output alert_acid_db: mysql, sensor_id 1, database snort, server<br>
> localhost, user snort, password xxxxxxxx<br>
> output log_acid_db: mysql, database snort, server localhost, user snort,<br>
> password xxxxxxxx, detail full<br>
><br>
>> 2) Command line used to start barnyard<br>
><br>
> /usr/local/bin/barnyard -c /etc/snort/barnyard.conf -g<br>
> /etc/snort/gen-msg.map -s /etc/snort/sid-msg.map -d /var/log/snort -f<br>
> snort.log -w /var/log/snort/barnyard.waldo -D<br>
<br>
</div>Sorry to interrupt, but I'm going to keep posting this in the hope that<br>
more will see it.<br>
<br>
If you read the source for barnyard, you can include the following in your<br>
barnyard.conf file and eliminate them from the command line used to start<br>
barnyard:<br>
<br>
config class-file: /etc/snort/classification.config<br>
config sid-msg-map: /etc/snort/sid-msg.map<br>
config gen-msg-map: /etc/snort/gen-msg.map<br>
<br>
In your case that would shorten the startup line as follows:<br>
<br>
/usr/local/bin/barnyard -c /etc/snort/barnyard.conf -d /var/log/snort -f<br>
<div class="im">snort.log -w /var/log/snort/barnyard.waldo -D<br>
<br>
</div><div class="im">Paul Schmehl, If it isn't already<br>
obvious, my opinions are my own<br>
and not those of my employer.<br>
******************************************<br>
WARNING: Check the headers before replying<br>
<br>
<br>
------------------------------------------------------------------------------<br>
</div><div><div></div><div class="h5">Apps built with the Adobe(R) Flex(R) framework and Flex Builder(TM) are<br>
powering Web 2.0 with engaging, cross-platform capabilities. Quickly and<br>
easily build your RIAs with Flex Builder, the Eclipse(TM)based development<br>
software that enables intelligent coding and step-through debugging.<br>
Download the free 60 day trial. <a href="http://p.sf.net/sfu/www-adobe-com" target="_blank">http://p.sf.net/sfu/www-adobe-com</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Joel Esler<br>T: 302-223-5974 (-) Gtalk: <a href="mailto:jesler@...1935...">jesler@...843.....1935...</a><br>[m]<br>
</div>