<div>Is this what you're looking for?</div>
<div> </div>
<div># You can optionally define new rule types and associate one or more output<br># plugins specifically to that type.<br>#<br># This example will create a type that will log to just tcpdump.<br># ruletype suspicious<br>
# {<br>#   type log<br>#   output log_tcpdump: suspicious.log<br># }<br>#<br># EXAMPLE RULE FOR SUSPICIOUS RULETYPE:<br># suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)<br>#<br># This example will create a rule type that will log to syslog and a mysql<br>
# database:<br># ruletype redalert<br># {<br>#   type alert<br>#   output alert_syslog: LOG_AUTH LOG_ALERT<br>#   output database: log, mysql, user=snort dbname=snort host=localhost<br># }<br>#<br># EXAMPLE RULE FOR REDALERT RULETYPE:<br>
# redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \<br>#   (msg:"Someone is being LEET"; flags:A+;)<br></div>
<div>Matt<br><br></div>
<div class="gmail_quote">On Wed, Mar 17, 2010 at 8:08 PM, Willst Mail <span dir="ltr"><<a href="mailto:willstmail@...11827...">willstmail@...979...11827...</a>></span> wrote:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Hello,<br>Is it possible to use different output options for different alerts?<br>In my specific case, what I would like to do is this:<br>
<br>1. All alerts are handled by the syslog output so they are written to<br>our logging system for correlation and archival.<br><br>2. All alerts except port scans and port sweeps are handled by the<br>database output so they are written to BASE for trending, reporting,<br>
payload analysis, etc.<br><br>Some alerts are more useful for correlation than they are for analysis<br>and reporting, eg. the port scans/sweeps, not to mention can be<br>voluminous, so I'd rather not clutter up BASE if necessary.  We are<br>
using barnyard2 v2.1.7 with Snort v2.8.5.x.  Are we somehow able to<br>achieve this configuration?<br><br>Thanks<br><br>------------------------------------------------------------------------------<br>Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>proactively, and fine-tune applications for parallel performance.<br>See why Intel Parallel Studio got high marks during beta.<br><a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...8192...sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users</a> list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</blockquote></div><br>