As Richard said, perhaps you should produce some alerts at the command line level to verify that you can, in fact, generate alerts.  I might suggest the creation of an IP any -> any any type rule... (google can help you with this).  Can you provide the command that you are using to start snort?  Often people will include an -A option at runtime, and this can cause issue with various output plugins.  If, however, you want to output for TEST purposes.. -A console is a good option, but completely remove this option if/when you are wanting to write to mysql / unified etc...<div>
<br></div><div>JJC<br><br><div class="gmail_quote">On Sun, Apr 18, 2010 at 10:19 AM, David Holder <span dir="ltr"><<a href="mailto:david.holder@...11827...">david.holder@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Hi JJC,<br><br>1. Yes I did<br>2. Fair enough, however I would rather get basic functionality working first, and then proceed to refine my Snort deployment.<br>3. I've done a test and received the following output:<div class="im">
<br>
<br>Action Stats:<br>ALERTS: 0<br>LOGGED: 0<br>PASSED: 0<br><br></div>I assume nothing has been logged into the Database. Can you please tell me how I can configure snort to log all traffic, I've gone through various tutorials online, completed everything that was listed but alas, nothing is going into my DB.<br>

<br>Thanks,<div><div></div><div class="h5"><br><br><div class="gmail_quote">On Fri, Apr 16, 2010 at 5:10 PM, JJ Cummings <span dir="ltr"><<a href="mailto:cummingsj@...11827..." target="_blank">cummingsj@...14459.....</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex">
David, <div><br></div><div>A few things:</div><div><br></div><div><ol><li>did you compile snort with --with-mysql</li><li>if so, you still will not see any data in the database until a snort event occurs</li><li>it is considered sub-optimal to log directly to the database using snort, you should log to unified2 and then use a tool such as barnyard2 to read this unified data and insert into mysql</li>


<li>you can tell if snort has produced alerts by sending a USR1 signal to the pid and then reviewing the output in /var/log/messages</li><ol><li>There will be a section in the output that looks like the following:</li></ol>


</ol></div><blockquote style="margin:0pt 0pt 0pt 40px;border:medium none;padding:0px"><blockquote style="margin:0pt 0pt 0pt 40px;border:medium none;padding:0px"><div><div>
<div>Action Stats:</div></div></div></blockquote><blockquote style="margin:0pt 0pt 0pt 40px;border:medium none;padding:0px"><div><div><div>ALERTS: 0</div></div></div></blockquote><blockquote style="margin:0pt 0pt 0pt 40px;border:medium none;padding:0px">


<div><div><div>LOGGED: 0</div></div></div></blockquote><blockquote style="margin:0pt 0pt 0pt 40px;border:medium none;padding:0px"><div><div><div>PASSED: 0</div></div></div><div><br></div></blockquote>
</blockquote>Of course if any alerts have been produced, then the ALERTS field will have the numeric value that represents the number of alerts that snort has generated.<div><br></div><div>JJC<div><div></div><div>
<br><div><div class="gmail_quote">
On Fri, Apr 16, 2010 at 9:58 AM, David Holder <span dir="ltr"><<a href="mailto:david.holder@...11827..." target="_blank">david.holder@...13610...7...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex">


<div><div></div><div>Hi JJ,<br><br>Thanks for your reply, I can now run it.<br><br>However, 
I've come across a different problem now. Everything seems to indicate 
that snort is working fine, but nothing is being logged into the MYSQL 
database. I've added the following into my snort.conf:<br>
<br>output database: log, mysql, user=snort password=MyDBPassword 
dbname=snort host=localhost<br><br>Base is reporting no information:<br><br>Sensors/Total:
 0 / 1<br>Unique Alerts: 0<br>Categories: 0<br>Total Number of Alerts: 0<br>
<br>    * Src IP addrs: 0<br>    * Dest. IP addrs: 0<br>    * Unique IP 
links 0<br><br>If I try and run snort without Daemon mode I get the 
following output:<br><br>Initializing Network Interface eth0<br>Decoding
 Ethernet on interface eth0<br>
database: compiled support for (mysql)<br>database: configured to use 
mysql<br>database: schema version = 107<br>database:           host = 
localhost<br>database:           user = snort<br>database:  database 
name = snort<br>
database:    sensor name = 192.168.202.239<br>database:      sensor id =
 1<br>database:  data encoding = hex<br>database:   detail level = full<br>database:    
 ignore_bpf = no<br>database: using the "log" facility<br>
<br>eth0 is the correct name. Although the last thing to come from 
terminal is:<br><br>Not Using PCAP_FRAMES.<br><br>I've run snort -DEV 
and I can see the traffic being analysed, so there is something there to
 log.<br>
<br>Any help would be appreciated.<br><br>Thanks,<br><br></div></div><div class="gmail_quote"><div>On Fri, Apr 16, 2010 at 4:19 PM, JJ Cummings <span dir="ltr"><<a href="mailto:cummingsj@...11827..." target="_blank">cummingsj@...11827...</a>></span> wrote:<br>



</div><div><div></div><div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex">Delete all of the *example* rules that are in <span style="font-family:arial,sans-serif;font-size:13px;border-collapse:collapse">/usr/local/lib/snort_dynamicrules/</span><div>




<font face="arial, sans-serif"><span style="border-collapse:collapse"><br></span></font></div><div><font face="arial, sans-serif"><span style="border-collapse:collapse"><br>
</span></font><br><div class="gmail_quote"><div><div></div><div>On Fri, Apr 16, 2010 at 9:14 AM, David Holder <span dir="ltr"><<a href="mailto:david.holder@...11827..." target="_blank">david.holder@...11827...</a>></span> wrote:<br>



</div></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex"><div><div></div><div>
Hi all,<br><br>I installed Snort yesterday and configured it based on the guide provided on the ubuntu forums : <a href="http://ubuntuforums.org/showthread.php?t=919472" target="_blank">http://ubuntuforums.org/showthread.php?t=919472</a><br>





<br>I'm running ubuntu 9.10 server edition and the latest version of Snort and BASE.<br><br>I've managed to configure the database, permissions, snort.conf but when I try and launch snort like so:<br><br>snort -c /etc/snort/snort.conf<br>





<br>I get the following:<br><br>root@...2306...:~# snort -c /etc/snort/snort.conf<br>Running in IDS mode<br><br>        --== Initializing Snort ==--<br>Initializing Output Plugins!<br>Initializing Preprocessors!<br>Initializing Plug-ins!<br>





Parsing Rules file "/etc/snort/snort.conf"<br>PortVar 'HTTP_PORTS' defined :  [ 80 1220 2301 3128 7777 7779 8000 8008 8028 8080 8180 8888 9999 ]<br>PortVar 'SHELLCODE_PORTS' defined :  [ 0:79 81:65535 ]<br>





PortVar 'ORACLE_PORTS' defined :  [ 1521 ]<br>Detection:<br>   Search-Method = AC-BNFA-Q<br>Tagged Packet Limit: 256<br>Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... done<br>Loading all dynamic detection libs from /usr/local/lib/snort_dynamicrules...<br>





  Loading dynamic detection library /usr/local/lib/snort_dynamicrules/lib_sfdynamic_example_rule.so... ERROR: Failed to find LibVersion() function in /usr/local/lib/snort_dynamicrules/lib_sfdynamic_example_rule.so: /usr/local/lib/snort_dynamicrules/lib_sfdynamic_example_rule.so: undefined symbol: LibVersion<br>





Fatal Error, Quitting..<br><br>Does anyone have any idea how I can resolve this issue?<br><br>Thanks,<br><font color="#888888"><br>David<br>
</font><br></div></div>------------------------------------------------------------------------------<br>
Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br><br clear="all"><br><br>
</div>
</blockquote></div></div></div><br>
<br>------------------------------------------------------------------------------<br>
Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br><br clear="all"><br><br><br>
</div></div></div></div>
</blockquote></div><br>
</div></div><br>------------------------------------------------------------------------------<br>
Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br><br clear="all"><br>-- <br><br>
</div>