I am more than willing to help you take a look if you have a pcap where you can reproduce the issue, or specific rules that are not firing.<div><br></div><div>J<br><br><div class="gmail_quote">On Mon, Apr 25, 2011 at 6:49 PM, Lay, James <span dir="ltr"><<a href="mailto:james.lay@...15009...">james.lay@...15009...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="color:#1F497D"> </span></p><div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt">From:</span></b><span style="font-size:10.0pt"> Kumar, Mahendra [mailto:<a href="mailto:mkumar@...15250..." target="_blank">mkumar@...15250...</a>] <br><b>Sent:</b> Monday, April 25, 2011 3:50 PM<br>
<b>To:</b> <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br><b>Subject:</b> [Snort-users] snort is logging alerts but not capturing corresponding packets for some rules</span></p>
</div></div><div><div></div><div class="h5"><p class="MsoNormal"> </p><p class="MsoNormal">Hi,</p><p class="MsoNormal"> </p><p class="MsoNormal">I am using snort-2.9.0.5 with daq-0.5-9 and libpcap1-1.1.1-9 on Centos 5.5 (x86_64). I am not using any other thing like unified2, base, barnyard, mysql etc.</p>
<p class="MsoNormal">My snort is working properly and I am getting alerts and packet captures in snort.log in tcpdump format.</p><p class="MsoNormal">But for some rules (e.g. SHELLCODE sid:1394) I get the alert logged but there is no packet capture in snort.log and it is very consistent behavior, i.e. I will never get packet captures for some of the rules but will always get alert so it is not a packet drop problem. It seems to be a config issue where the alert is logged but no packet captures.</p>
<p class="MsoNormal">Please help me resolve this issue.</p><p class="MsoNormal"> </p><p class="MsoNormal">Thanks,</p><p class="MsoNormal">MK</p><p class="MsoNormal"><span style="color:#1F497D"> </span></p><p class="MsoNormal">
<span style="color:#1F497D"> </span></p><p class="MsoNormal"><span style="color:#1F497D"> </span></p><p class="MsoNormal"><span style="color:#1F497D"> </span></p></div></div><p class="MsoNormal"><span style="color:#1F497D">Welcome to my world…I’ve submitted this exact same item a few times….seems to be a mystery.  I have snort boxes in a few different sites on a few different OS’s….same thing though…I get the alert in the .fast file, but certain things just do not log to the pcap.  I’ve had to work around this with full web traffic packet captures.  The machines aren’t even close to maxing CPU or memory, but the problem still persists.  If anyone has some advice I’d love to hear it.</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p><font color="#888888"><p class="MsoNormal"><span style="color:#1F497D">James</span></p></font></div></div><br>------------------------------------------------------------------------------<br>

WhatsUp Gold - Download Free Network Management Software<br>
The most intuitive, comprehensive, and cost-effective network<br>
management toolset available today.  Delivers lowest initial<br>
acquisition cost and overall TCO of any competing solution.<br>
<a href="http://p.sf.net/sfu/whatsupgold-sd" target="_blank">http://p.sf.net/sfu/whatsupgold-sd</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br></div>