Do you have any information in the database?  Can you check that?<div><br></div><div>J</div><div><br><br><div class="gmail_quote">On Wed, Apr 28, 2010 at 3:04 PM, Michael Sloan <span dir="ltr"><<a href="mailto:sloan@...14851...">sloan@...14851...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">I've tried to set up Snort on SUSE Linux Enterprise Server 11, and have<br>
run into troubles. I think it might have been working at one point, but<br>
now i think it's stopped but I'm not sure, and not entirely sure I even<br>
compiled and configured everything correctly.<br>
<br>
I'm using Snort 2.8.5.3, Base 1.4.5, Barnyard2 1.8, and mySQL 5.0.67<br>
<br>
Barnyard2: compiled with --enable-mysql<br>
<br>
Snort: compiled with --enable-targetbased (I could not get --with-mysql<br>
to work, and didn't actually peruse the mailing lists until long after I<br>
got everything installed and possibly configured)<br>
<br>
In snort.conf:<br>
   output unified2: filename snort.log, limit 128<br>
<br>
In barnyard2.conf:<br>
   output database: alert, mysql, user=snort password=TopSecretPassword<br>
dbname=snort host=localhost<br>
<br>
mysql reports that the user snort@...274... has<br>
   SELECT, INSERT, UPDATE, DELETE, CREATE on snort.*<br>
   SELECT, INSERT, UPDATE on snort.sensor<br>
<br>
Snort is started with:<br>
   /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -d -D -u snort<br>
<br>
And barnyard2 is started with:<br>
   /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -D -d<br>
/var/log/snort<br>
     -f snort.log -u snort<br>
<br>
After a couple of weeks, I see that snort.log is 133k, but no alerts<br>
whatsoever have been displayed in BASE. BASE is showing the proper<br>
database name, and user.<br>
<br>
I see in /var/log/messages (after restarting snort and barnyard2 today)<br>
that barnyard2 read 706 records from the 133k file. I do not see any<br>
errors in the mysqld logs.<br>
<br>
I've looked at installation guides for SUSE 10, Fedora Core 11, and read<br>
enough from different sources that now I really have no idea what could<br>
be wrong and after spending quite a few hours on this over the course of<br>
the last few weeks, I've run out of ideas on what to tweak and change.<br>
<br>
Any suggestions or (or requests for further information needed) would be<br>
greatly appreciated.<br>
<br>
<br>
--<br>
Michael Sloan<br>
Systems Administrator<br>
FSU Center for Advanced Power Systems<br>
<a href="mailto:sloan@...14851...">sloan@...14851...</a><br>
<br>
<br>
------------------------------------------------------------------------------<br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</blockquote></div><br></div>