<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18702"></HEAD>
<BODY style="MARGIN: 4px 4px 1px; FONT: 10pt Tahoma">
<DIV>Hi all,</DIV>
<DIV> </DIV>
<DIV>I have searched and fiddled with Barnyard for about a month and I am unable to get it to report to syslog-ng. I have been able to get Snort to report so the syslog-ng.conf.in file is correct.</DIV>
<DIV> </DIV>
<DIV>Also, When I issue the following it appears in the /var/log/snort/snort.alert log file:</DIV>
<DIV> </DIV>
<DIV>logger -p local3.notice "THIS IS AN ALARMING ALARM"</DIV>
<DIV> </DIV>
<DIV>
<DIV>Here are my configurations (I am on a DL380 G5 server running SuSE 10 r2)<BR>I have scripts to start and stop snort and barnyard <BR>to reload syslog-ng.conf.in <BR>SuSEconfig --module syslog-ng <BR><BR>syslog-ng.conf.in <BR>filter f_local3 { facility(local3); }; <BR># Send SNORT local3 logs to remote syslog daemon: <BR>destination snortlogremote { udp("xxx.xxx.xxx.xxx"); }; <BR>log { source(src); filter(f_local3); destination(snortlogremote); }; <BR># Send SNORT local3 logs to logging file: <BR>destination snortlogs { file("/var/log/snort/snort.alert"); }; <BR>log { source(src); filter(f_local3); destination(snortlogs); }; <BR><BR>Snort.conf <BR>output alert_unified: filename Snort.alert, limit 128 <BR>output log_unified: filename Snort.log, limit 128 <BR><BR>Barnyard.conf (I have tried both of these but not at the same time) <BR>output alert_syslog: LOG_AUTH | LOG_ALERT <BR>output alert_syslog2: severity:ALERT; facility:LOCAL3; syslog_host:localhost; </DIV>
<DIV> </DIV>
<DIV>This is var/log/messages <BR>I never get any new data via syslog-NG <BR>but my database is growing. <BR><BR>barnyard[6635]: Exiting <BR>barnyard[32477]: Initializing daemon mode <BR>barnyard[32478]: Opened spool file '/var/log/snort/Snort.log.1242239309' <BR>barnyard[32478]: Waiting for new data <BR><BR>Any help would be very appreciated</DIV>
<DIV> </DIV>
<DIV>Cheers.</DIV></DIV></BODY></HTML>