I used to have a script that monitored the age of the files in the logs directory and if they got older than "x" amount of days, then move them to an archive.  (Just as easily they could be deleted.)<div><br></div>
<div>J<br><br><div class="gmail_quote">On Wed, Feb 24, 2010 at 10:20 AM, Sharma, Ashish <span dir="ltr"><<a href="mailto:ashish.sharma3@...14785...40...">ashish.sharma3@...6440...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Joel,<br>
<br>
Ok I got the point.<br>
<br>
There are plenty of approaches to archive DB files.<br>
<br>
Here I want to know how can I clean up 'snort.log' files automatically that keep on growing in a production system without much admin interference.<br>
<div class="im"><br>
Thanks in advance<br>
Ashish Sharma<br>
<br>
</div><div><div></div><div class="h5">-----Original Message-----<br>
From: Joel Esler [mailto:<a href="mailto:jesler@...1935...">jesler@...13572...5...</a>]<br>
Sent: Tuesday, February 23, 2010 8:38 PM<br>
To: firnsy<br>
Cc: Sharma, Ashish; Snort Users List<br>
Subject: Re: [Snort-users] Archiving Snort logs<br>
<br>
On Feb 23, 2010, at 5:21 AM, firnsy wrote:<br>
<br>
> On Tue, 2010-02-23 at 08:47 +0000, Sharma, Ashish wrote:<br>
><br>
>> Here I want to know, Is the 'Barnyard2' also cleaning up the snort<br>
>> logs?<br>
>><br>
><br>
> No, it doesn't. Barnyard2 is only parsing the snort unified log files.<br>
<br>
Although you could save the unified files and read them back into the db at a later time if you wanted to with barnyard2.  As for cleaning up the DB, I think there is a script that can clean up the db.<br>
<br>
If you Google "snort db cleanup" many sites come up, however, this one popped out at me.  Might give it a shot.<br>
<br>
<a href="http://www.perlmonks.org/?node_id=247926" target="_blank">http://www.perlmonks.org/?node_id=247926</a><br>
<br>
<br>
--<br>
Joel Esler<br>
302-223-5974<br>
<br>
<br>
<br>
<br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Joel Esler <br>302-223-5974<br>
</div>