At quick glance it looks correct.. a few things:<div><ol><li>/dev/null your waldo file</li><li>have you verified mysql permissions for the user specified in by2</li><li>are you seeing your snort.log files increment as alerts are generated</li>
<li>when you run by2 (not daemonized) does it say anything about reading spool files etc etc?</li></ol><br><div class="gmail_quote">On Wed, Jun 23, 2010 at 5:57 PM, Nick Moore <span dir="ltr"><<a href="mailto:nmoore@...1935...">nmoore@...1935...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">JJ,<div><br></div><div>snort -i eth1 -c /etc/snort/snort.conf (pretty boring really)</div><div><br></div><div>barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /etc/snort/barnyard2.waldo</div>
<div><br>
</div><div>Nick<div><div></div><div class="h5"><br><br><div class="gmail_quote">On Wed, Jun 23, 2010 at 6:50 PM, JJC <span dir="ltr"><<a href="mailto:cummingsj@...11827..." target="_blank">cummingsj@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
What are your runtime options to start each snort and by2?<br><br><div class="gmail_quote"><div><div></div><div>On Wed, Jun 23, 2010 at 4:32 PM, Nick Moore <span dir="ltr"><<a href="mailto:nmoore@...1935..." target="_blank">nmoore@...1935...</a>></span> wrote:<br>


</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div></div><div>All, <div><br></div><div>I'm having a problem with Barnyard putting data into MySQL. Snort is seeing events and the log file is increasing, but no events have yet been written to the database. </div>


<div><br></div><div>
I've attached my snort.conf and barnyard2.conf. Based on the Snort screen output below, I'm sure events are triggering:</div><div><br></div><div><div>===============================================================================</div>



<div>Action Stats:</div><div>ALERTS: 246</div><div>LOGGED: 246</div><div>PASSED: 0</div><div>=====================</div><div><br></div><div>I'm sure I'm overlooking something simple. If anyone can point me in the right direction, it would be much appreciated. </div>



<div><br></div><div>Thanks!</div><br>-- <br>Nick Moore, SFCE, CISSP, CISA<br>Sr. Systems Engineer<br>Voice 708-336-9041<br>Email <a href="mailto:nick.moore@...1935..." target="_blank">nick.moore@...1935...</a><br>


IM    nickgmoore (Yahoo)<br>
       nickgmoore38 (AIM)<br><br>    ,,_<br>   o"  )~   Sourcefire - The Creators of Snort<br>    ''''<br><br><a href="http://www.sourcefire.com" target="_blank">www.sourcefire.com</a>         <a href="http://www.snort.org" target="_blank">www.snort.org</a><br>



<br>
</div>
<br></div></div>------------------------------------------------------------------------------<br>
ThinkGeek and WIRED's GeekDad team up for the Ultimate<br>
GeekDad Father's Day Giveaway. ONE MASSIVE PRIZE to the<br>
lucky parental unit.  See the prize list and enter to win:<br>
<a href="http://p.sf.net/sfu/thinkgeek-promo" target="_blank">http://p.sf.net/sfu/thinkgeek-promo</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br>
</blockquote></div><br><br clear="all"><br>-- <br>Nick Moore, SFCE, CISSP, CISA<br>Sr. Systems Engineer<br>Voice 708-336-9041<br>Email <a href="mailto:nick.moore@...1935..." target="_blank">nick.moore@...1935...</a><br>
IM    nickgmoore (Yahoo)<br>
       nickgmoore38 (AIM)<br><br>    ,,_<br>   o"  )~   Sourcefire - The Creators of Snort<br>    ''''<br><br><a href="http://www.sourcefire.com" target="_blank">www.sourcefire.com</a>         <a href="http://www.snort.org" target="_blank">www.snort.org</a><br>

<br>
</div></div></div>
</blockquote></div><br></div>