No problem :)  I caught a doc bug while I was working this, so it has worked out well.<br><br><div class="gmail_quote">On Mon, Mar 22, 2010 at 4:52 PM, Crook, Parker <span dir="ltr"><<a href="mailto:Parker_Crook@...846....14786...">Parker_Crook@...14786...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Yeah...<br>
I was grepping with the wrong info, it's there in 2.8.5.3, depending on whether Snort is started, reloaded, or restarted, in one of the following formats:<br>
<br>
1:<br>
Mar 22 16:38:46 SNORT2 snort[21698]: Attribute Table Loaded with 113 hosts<br>
<br>
2:<br>
Mar 22 16:38:49 SNORT2 snort[21699]: Attribute Table Reload Thread Starting...<br>
Mar 22 16:38:49 SNORT2 snort[21699]: Attribute Table Reload Thread Started, thread 3059501968 (21699)<br>
<br>
3:<br>
Mar 22 16:27:01 SNORT2 snort[19778]: ===============================================================================<br>
Mar 22 16:27:01 SNORT2 snort[19778]: Attribute Table Stats:<br>
Mar 22 16:27:01 SNORT2 snort[19778]:     Number Entries: 113<br>
Mar 22 16:27:01 SNORT2 snort[19778]:     Table Reloaded: 0<br>
Mar 22 16:27:01 SNORT2 snort[19778]: ===============================================================================<br>
<br>
Sorry for causing trouble,<br>
<font color="#888888">Parker<br>
</font><div class="im"><br>
-----Original Message-----<br>
From: Ryan Jordan [mailto:<a href="mailto:ryan.jordan@...1935...">ryan.jordan@...1935...</a>]<br>
Sent: Monday, March 22, 2010 4:45 PM<br>
To: Crook, Parker<br>
</div><div><div></div><div class="h5">Cc: Matt Olney; <a href="mailto:snort-devel-request@lists.sourceforge.net">snort-devel-request@...4137...orge.net</a>; <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a> List<br>

Subject: Re: [Snort-users] host attribute table - feature request<br>
<br>
If you're not seeing those stats, make sure you compiled Snort with<br>
--enable-targetbased.<br>
<br>
-Ryan<br>
<br>
On Mon, Mar 22, 2010 at 4:33 PM, Crook, Parker <<a href="mailto:Parker_Crook@...14786...">Parker_Crook@...14786...</a>> wrote:<br>
> Matt,<br>
><br>
><br>
><br>
> No that's great -- I thought I remembered seeing something like that in my<br>
> lab at home, but thought I was losing it when I couldn't get it here in the<br>
> production environment (it was a late night coding session after all).<br>
><br>
><br>
><br>
> Thanks again,<br>
><br>
> Parker<br>
><br>
><br>
><br>
> ________________________________<br>
><br>
> From: Matt Olney [mailto:<a href="mailto:molney@...1935...">molney@...843.....1935...</a>]<br>
> Sent: Monday, March 22, 2010 4:27 PM<br>
> To: Crook, Parker<br>
> Cc: Joel Esler; <a href="mailto:snort-devel-request@...2652...e.net">snort-devel-request@lists.sourceforge.net</a>;<br>
> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...7287....sourceforge.net</a> List<br>
><br>
> Subject: Re: [Snort-users] host attribute table - feature request<br>
><br>
><br>
><br>
> In 2.8.6rc1, at least I get the following:<br>
><br>
><br>
><br>
> ===============================================================================<br>
><br>
> Attribute Table Stats:<br>
><br>
>     Number Entries: 1<br>
><br>
>     Table Reloaded: 0<br>
><br>
> ===============================================================================<br>
><br>
><br>
><br>
> In the Snort output.  Is that sufficient?  I'll put a feature request bug<br>
> in, but I'm just making sure this isn't what you are looking for,<br>
><br>
> Matt<br>
><br>
><br>
><br>
> On Mon, Mar 22, 2010 at 4:15 PM, Crook, Parker <<a href="mailto:Parker_Crook@...14786...">Parker_Crook@...14786...</a>><br>
> wrote:<br>
><br>
> Thanks Joel, I appreciate it.<br>
><br>
><br>
><br>
> -Parker<br>
><br>
> ________________________________<br>
><br>
> From: Joel Esler [mailto:<a href="mailto:joel.esler@...14399...">joel.esler@...14399...</a>]<br>
> Sent: Monday, March 22, 2010 2:55 PM<br>
> To: Crook, Parker<br>
> Cc: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...2902...ists.sourceforge.net</a> List;<br>
> <a href="mailto:snort-devel-request@lists.sourceforge.net">snort-devel-request@lists.sourceforge.net</a><br>
><br>
> Subject: Re: [Snort-users] host attribute table - feature request<br>
><br>
><br>
><br>
> Parker,<br>
><br>
><br>
><br>
> I've cc'ed the snort-devel list.  I'm not aware if the developers are on the<br>
> snort-users list.<br>
><br>
><br>
><br>
> J<br>
><br>
><br>
><br>
> On Mar 22, 2010, at 1:35 PM, Crook, Parker wrote:<br>
><br>
><br>
><br>
> After speaking with Andy about getting hogger to create the host attribute<br>
> table, he asked how he would know if Snort successfully slurped up the<br>
> attribute file.  I did some checking on my installation and went through the<br>
> logs and noticed there is not any sort of indication of whether or not Snort<br>
> is using a host attribute table.<br>
><br>
><br>
><br>
> Would it be possible to add this feature so that we can receive confirmation<br>
> that we are or are not using the host attribute feature? (similar to the<br>
> message on PCAP frames)<br>
><br>
><br>
><br>
> --<br>
> Joel Esler<br>
> <a href="http://blog.joelesler.net" target="_blank">http://blog.joelesler.net</a><br>
><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
> Download Intel&#174; Parallel Studio Eval<br>
> Try the new software tools for yourself. Speed compiling, find bugs<br>
> proactively, and fine-tune applications for parallel performance.<br>
> See why Intel Parallel Studio got high marks during beta.<br>
> <a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
> Download Intel&#174; Parallel Studio Eval<br>
> Try the new software tools for yourself. Speed compiling, find bugs<br>
> proactively, and fine-tune applications for parallel performance.<br>
> See why Intel Parallel Studio got high marks during beta.<br>
> <a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
</div></div></blockquote></div><br>