The problem is that snort_stat use "snort" signature in the snort alert file to recover information... but barnyard is the autor of the alert message, so, in the alert file generated by barnyard will be:<br><br>Dec† 3 06:24:03 debian <b>barnyard</b>: [1:2050:14] SQL version overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {UDP} <a href="http://222.47.22.18:2285">222.47.22.18:2285</a> -> x.x.x.x:1434<br>

<br>you see?<br><br>So, to resolve this problem, u have to edit the <a href="http://snort_stat.pl">snort_stat.pl</a> file like this patch:<br><br>#### PATCH BEGIN ####<br>--- <a href="http://snort_stat.pl">snort_stat.pl</a>††† 2009-12-03 13:12:51.000000000 -0200<br>

+++ <a href="http://snort_stat_modified.pl">snort_stat_modified.pl</a>††† 2009-12-03 13:11:24.000000000 -0200<br>@@ -135,7 +135,7 @@<br>†<br>†††† # This is syslog format<br>†††† if ( $_ =~ m/^(\w{3}) \s+ (\d+) \s (\d+)\:(\d+)\:(\d+)\s <br>

-††† (\S+?)\ssnort[\[\d+\]]*\:\s+(.+)/ox<br>+††† (\S+?)\sbarnyard[\[\d+\]]*\:\s+(.+)/ox<br>†††† || m/^(\d+)\/(\d+)\-(\d+)\:(\d+)\:(\d+)\.(\d+)\s(.+)/ox<br>†††† ) {<br>†††† $alert->{MON}† = $1;<br><br>#### PATCH END ####<br>

<br><div class="gmail_quote">On Thu, Dec 3, 2009 at 8:31 AM, Tedi Heriyanto <span dir="ltr"><<a href="mailto:tedi.heriyanto@...11827...">tedi.heriyanto@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

<div class="im">Pradeep Lamabam wrote:<br>
> hello,<br>
> am using snort with barnyard, base,mysql. all is working fine. had also<br>
> used snortstat_pl as a summary tool. works equally fine. what i had<br>
> trouble though was with running snortstat_pl script as cron and to mail<br>
> me the summary<br>
> the command i used is :<br>
</div>> 59 23 * * * cat /var/log/snort/alert | snort\_<a href="http://stat.pl" target="_blank">stat.pl</a> <<a href="http://stat.pl" target="_blank">http://stat.pl</a>> |<br>
> mail -s ''Snort Report`` <myid>@<a href="http://yahoo.com" target="_blank">yahoo.com</a> <<a href="http://yahoo.com" target="_blank">http://yahoo.com</a>><br>
You can put the commands :<br>
cat /var/log/snort/alert | snort\_<a href="http://stat.pl" target="_blank">stat.pl</a> <<a href="http://stat.pl" target="_blank">http://stat.pl</a>> |<br>
mail -s ''Snort Report`` <myid>@<a href="http://yahoo.com" target="_blank">yahoo.com</a> <<a href="http://yahoo.com" target="_blank">http://yahoo.com</a>><br>
<br>
into a shell script and in the cron entry you just call that script :<br>
<br>
59 23 * * * /home/user/snort-log-mailer.sh<br>
<font color="#888888"><br>
<br>
<br>
--<br>
Best Regards,<br>
<br>
Tedi Heriyanto<br>
Website † † † † : <a href="http://tedi.heriyanto.net" target="_blank">http://tedi.heriyanto.net</a><br>
Blog † † † † † †: <a href="http://theriyanto.wordpress.com" target="_blank">http://theriyanto.wordpress.com</a><br>
PGP Key ID † † †: 0xAC22DD11<br>
PGP Fingerprint : 470A FF01 B4CF 93A4 78E5 0EAC 0103 BC76 AC22 DD11<br>
</font><div><div></div><div class="h5"><br>
------------------------------------------------------------------------------<br>
Join us December 9, 2009 for the Red Hat Virtual Experience,<br>
a free event focused on virtualization and cloud computing.<br>
Attend in-depth sessions from your desk. Your couch. Anywhere.<br>
<a href="http://p.sf.net/sfu/redhat-sfdev2dev" target="_blank">http://p.sf.net/sfu/redhat-sfdev2dev</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users%0ASnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>David Gomes Guimar„es<br>