You need to update your sid-msg map so that it has all of the meta information for those SIDs.  You then need to (re)start barnyard2 so that it inserts the correct information from that point forward.  Of course that doesn't fix the existing data in the database.  To fix that you will need to either built a tool that will go back and update the entries with the meta information or you will want to delete the data and restart barnyard2 telling it to read and insert the old unified data.<div>
<br></div><div>JJC<br><br><div class="gmail_quote">On Fri, Aug 27, 2010 at 7:54 AM, Lawrence R. Hughes, Sr. <span dir="ltr"><<a href="mailto:lhughes@...14822...">lhughes@...14822...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">






<div bgcolor="#ffffff">
<div><font size="2" face="Arial">Hi,</font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">Found a problem where the following was returned 
from the snort.signature table for the following query:</font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">SELECT sig_id,sig_name FROM snort.signature WHERE 
sig_name like 'snort%';</font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">'969', 'Snort Alert [138:2:0]'<br>'443', 'Snort 
Alert [138:4:0]'<br>'1181', 'Snort Alert [1:13974:0]'<br>'1163', 'Snort Alert 
[1:14782:0]'<br>'1251', 'Snort Alert [1:15114:0]'<br>'1160', 'Snort Alert 
[1:16180:0]'<br>'402', 'Snort Alert [1:2402000:0]'<br>'420', 'Snort Alert 
[1:2402001:0]'<br>'499', 'Snort Alert [1:2402000:0]'<br>'549', 'Snort Alert 
[1:2402001:0]'<br>'504', 'Snort Alert [1:2406085:0]'<br>'531', 'Snort Alert 
[1:2406097:0]'<br>'558', 'Snort Alert [1:2406011:0]'<br>'628', 'Snort Alert 
[1:2406063:0]'<br>'676', 'Snort Alert [1:2406010:0]'<br>'498', 'Snort Alert 
[1:2406181:0]'<br>'505', 'Snort Alert [1:2406189:0]'<br>'601', 'Snort Alert 
[1:2406146:0]'<br>'622', 'Snort Alert [1:2406144:0]'<br>'625', 'Snort Alert 
[1:2406183:0]'<br>'433', 'Snort Alert [1:2406242:0]'<br>'529', 'Snort Alert 
[1:2406237:0]'<br>'544', 'Snort Alert [1:2406281:0]'<br>'576', 'Snort Alert 
[1:2406207:0]'<br>'617', 'Snort Alert [1:2406260:0]'<br>'666', 'Snort Alert 
[1:2406245:0]'<br>'555', 'Snort Alert [1:2406361:0]'<br>'564', 'Snort Alert 
[1:2406391:0]'<br>'501', 'Snort Alert [1:2406493:0]'<br>'568', 'Snort Alert 
[1:2406463:0]'<br>'623', 'Snort Alert [1:2406418:0]'<br>'624', 'Snort Alert 
[1:2406492:0]'<br>'641', 'Snort Alert [1:2406489:0]'<br>'503', 'Snort Alert 
[1:2406569:0]'<br>'554', 'Snort Alert [1:2406595:0]'<br>'570', 'Snort Alert 
[1:2406503:0]'<br>'619', 'Snort Alert [1:2406542:0]'<br>'643', 'Snort Alert 
[1:2406584:0]'<br>'649', 'Snort Alert [1:2406594:0]'<br>'661', 'Snort Alert 
[1:2406564:0]'<br>'414', 'Snort Alert [1:2406649:0]'<br>'415', 'Snort Alert 
[1:2406648:0]'<br>'479', 'Snort Alert [1:2406614:0]'<br>'516', 'Snort Alert 
[1:2406621:0]'<br>'543', 'Snort Alert [1:2406608:0]'<br>'574', 'Snort Alert 
[1:2406623:0]'<br>'629', 'Snort Alert [1:2406641:0]'<br>'630', 'Snort Alert 
[1:2406640:0]'<br>'644', 'Snort Alert [1:2406612:0]'<br>'668', 'Snort Alert 
[1:2406606:0]'<br>'432', 'Snort Alert [1:2500036:0]'<br>'435', 'Snort Alert 
[1:2500004:0]'<br>'472', 'Snort Alert [1:2500024:0]'<br>'473', 'Snort Alert 
[1:2500016:0]'<br>'474', 'Snort Alert [1:2500030:0]'<br>'494', 'Snort Alert 
[1:2500020:0]'<br>'495', 'Snort Alert [1:2500098:0]'<br>'552', 'Snort Alert 
[1:2500088:0]'<br>'553', 'Snort Alert [1:2500099:0]'<br>'559', 'Snort Alert 
[1:2500071:0]'<br>'565', 'Snort Alert [1:2500077:0]'<br>'566', 'Snort Alert 
[1:2500002:0]'<br>'567', 'Snort Alert [1:2500063:0]'<br>'581', 'Snort Alert 
[1:2500024:0]'<br>'590', 'Snort Alert [1:2500008:0]'<br>'616', 'Snort Alert 
[1:2500004:0]'<br>'618', 'Snort Alert [1:2500022:0]'<br>'652', 'Snort Alert 
[1:2500020:0]'<br>'662', 'Snort Alert [1:2500016:0]'<br>'667', 'Snort Alert 
[1:2500042:0]'<br>'677', 'Snort Alert [1:2500030:0]'<br>'416', 'Snort Alert 
[1:2500174:0]'<br>'417', 'Snort Alert [1:2500135:0]'<br>'477', 'Snort Alert 
[1:2500142:0]'<br>'481', 'Snort Alert [1:2500124:0]'<br>'483', 'Snort Alert 
[1:2500118:0]'<br>'492', 'Snort Alert [1:2500100:0]'<br>'493', 'Snort Alert 
[1:2500126:0]'<br>'533', 'Snort Alert [1:2500150:0]'<br>'550', 'Snort Alert 
[1:2500148:0]'<br>'556', 'Snort Alert [1:2500168:0]'<br>'571', 'Snort Alert 
[1:2500126:0]'<br>'572', 'Snort Alert [1:2500182:0]'<br>'573', 'Snort Alert 
[1:2500139:0]'<br>'575', 'Snort Alert [1:2500154:0]'<br>'586', 'Snort Alert 
[1:2500170:0]'<br>'591', 'Snort Alert [1:2500162:0]'<br>'592', 'Snort Alert 
[1:2500114:0]'<br>'595', 'Snort Alert [1:2500106:0]'<br>'596', 'Snort Alert 
[1:2500122:0]'<br>'597', 'Snort Alert [1:2500176:0]'<br>'609', 'Snort Alert 
[1:2500108:0]'<br>'613', 'Snort Alert [1:2500104:0]'<br>'614', 'Snort Alert 
[1:2500130:0]'<br>'627', 'Snort Alert [1:2500166:0]'<br>'632', 'Snort Alert 
[1:2500128:0]'<br>'633', 'Snort Alert [1:2500102:0]'<br>'634', 'Snort Alert 
[1:2500102:0]'<br>'635', 'Snort Alert [1:2500120:0]'<br>'639', 'Snort Alert 
[1:2500164:0]'<br>'646', 'Snort Alert [1:2500110:0]'<br>'475', 'Snort Alert 
[1:2500245:0]'<br>'478', 'Snort Alert [1:2500266:0]'<br>'496', 'Snort Alert 
[1:2500218:0]'<br>'557', 'Snort Alert [1:2500211:0]'<br>'594', 'Snort Alert 
[1:2500272:0]'<br>'637', 'Snort Alert [1:2500232:0]'<br>'638', 'Snort Alert 
[1:2500232:0]'<br>'664', 'Snort Alert [1:2500208:0]'<br>'665', 'Snort Alert 
[1:2500210:0]'<br>'534', 'Snort Alert [1:2520138:0]'<br>'377', 'Snort Alert 
[1:66666:0]'<br><br>Barnyard2 is suppose to insert signature names like "<font size="3" face="Times New Roman">NETBIOS DCERPC NCACN-IP-TCP srvsvc 
NetrPathCanonicalize overflow attempt" <font size="2" face="Arial">into</font></font> sig_name of the snort.signature table 
correct?</font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">So what happened? </font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">Better yet, how do we clean this mess 
up?</font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">We think Barnyard2 is not at fault, and  the 
snort sid-msg.map and rules are the problem.</font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">Are we thinking in the correct 
direction?</font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">Thanks,</font></div>
<div><font size="2" face="Arial">Larry</font></div>
<div><font size="2" face="Arial"> </font></div></div>
<br>------------------------------------------------------------------------------<br>
Sell apps to millions through the Intel(R) Atom(Tm) Developer Program<br>
Be part of this innovative community and reach millions of netbook users<br>
worldwide. Take advantage of special opportunities to increase revenue and<br>
speed time-to-market. Join now, and jumpstart your future.<br>
<a href="http://p.sf.net/sfu/intel-atom-d2d" target="_blank">http://p.sf.net/sfu/intel-atom-d2d</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br></div>