Yeah, I think I can safely assure you that syslog is never going away.  Where never = for as long as people use syslog.<div><br></div><div><br><br><div class="gmail_quote">On Mon, Jun 27, 2011 at 4:32 PM, L0rd Ch0de1m0rt <span dir="ltr"><<a href="mailto:l0rdch0de1m0rt@...11827...">l0rdch0de1m0rt@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">I use syslog output exclusively and if it went away I would have to immediately transfer my large infrastructure to Suricata and take my dozen of Soucefire appliances and use half of them for target practice with my AR-15 and Glock .40 and the other half I would build a Beowulf cluster for OISF/EmergingThreats Pro to utilize.  Since Suricata is Open Source, I would take my Sourcefire appliance budget and buy huge solar panels to power the cluster.  Sounds like fun.<br>

<br><br>-L0rd C.<br><br><div class="gmail_quote">On Mon, Jun 27, 2011 at 10:16 AM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...14156......" target="_blank">jesler@...1935...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex">

<br>
<a href="http://blog.snort.org/2011/06/snorts-output-methods.html" target="_blank">http://blog.snort.org/2011/06/snorts-output-methods.html</a><br>
<br>
Snort's output methods<br>
<br>
Ever since the beginning of Snort, one of the main concerns was "how do I get data out of Snort".  Some of the options available have their advantages and disadvantages.<br>
<br>
There's some that aren't used.<br>
There's some that cause Snort to be slow.<br>
There's some that we don't maintain and don't frequently test.<br>
and<br>
There's some that we want to get rid of.<br>
<br>
One of those output methods is the "spo_database" module.  Or the module in Snort that directly inputs data from Snort into a mysql, postgres, or an Oracle database.  This logging method was written back in the late 90's by a college student (along with the db schema and the interface ACID) as a project for his thesis.<br>


<br>
It hasn't been very well maintained since then.  In fact, we don't test against it, and we don't recommend it for use.  It makes Snort, which is a high-speed data processor, have to stop doing what it's doing (being an IPS), and insert data into the database.  While Snort is inserting into the database, this stops inspection waiting for the database connection.<br>


<br>
So we are going to remove it.<div class="im"><br>
<br>
In order to provide the type of functionality we'd like to provide with Snort in the next few releases (more data for you!), we needed someone to take over the maintenance of the db schema that is shipped with Snort as well.   As a result of the discussion on the Snort-devel list, the team members over at the barnyard2 project have agreed to take over the maintenance of these schemas.<br>


<br>
At this point I'd like to hear from the community as well.  So please leave comments.<br>
<br></div><div class="im">
What output plugins do you use?<br>
Will you be affected by this change (we hope a lot of you aren't using the spo_database method)?<br>
What other output plugins do you think we can "show the door"?<br>
<br></div>
Please leave comments at the above link.<br>
<br>
Thanks.<br>
<br>
Joel Esler<br>
OpenSource Community Manager<div class="im"><br>
------------------------------------------------------------------------------<br>
All of the data generated in your IT infrastructure is seriously valuable.<br>
Why? It contains a definitive record of application performance, security<br>
threats, fraudulent activity, and more. Splunk takes this data and makes<br>
sense of it. IT sense. And common sense.<br>
<a href="http://p.sf.net/sfu/splunk-d2d-c2" target="_blank">http://p.sf.net/sfu/splunk-d2d-c2</a><br>
_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net" target="_blank">Snort-devel@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
</div></blockquote></div><br>
<br>------------------------------------------------------------------------------<br>
All of the data generated in your IT infrastructure is seriously valuable.<br>
Why? It contains a definitive record of application performance, security<br>
threats, fraudulent activity, and more. Splunk takes this data and makes<br>
sense of it. IT sense. And common sense.<br>
<a href="http://p.sf.net/sfu/splunk-d2d-c2" target="_blank">http://p.sf.net/sfu/splunk-d2d-c2</a><br>_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...4626...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Martin Roesch - Founder/CTO, Sourcefire Inc. - +1-410-290-1616<br>Sourcefire - Security for the Real World - <a href="http://www.sourcefire.com">http://www.sourcefire.com</a><br>
Snort: Open Source IDP - <a href="http://www.snort.org">http://www.snort.org</a><br>
</div>