<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">We don't QA test against Solaris at this time, but I'll take a look.<div><br></div><div><br><div><div>On May 29, 2012, at 11:13 AM, Naresh Narang <<a href="mailto:nnarang@...15655...">nnarang@...15655...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div bgcolor="#FFFFFF"><div>So I found out that logging is not happening in this newer version until there is an event. If I scan ports using nmap it does log. Since I was used to seeing huge logging in older version I thought it wasn't working.</div><div><br></div><div>Also, to correct my earlier statement about "config order", it does take effect. </div><div><br></div><div>I just wish that development folks try to compile this on Solaris at least once.<br><br><div>--Naresh</div>Sent from my iPhone</div><div><br>On May 29, 2012, at 8:05 AM, "Joel Esler" <<a href="mailto:jesler@...1935...">jesler@...1935...</a>> wrote:<br><br></div><div></div><blockquote type="cite"><meta http-equiv="Content-Type" content="text/html charset=windows-1252"><base href="x-msg://908/">A reject would still be logged.  The action just happens first.<div><br></div><div>Joel</div><div><br><div><div>On May 28, 2012, at 1:12 PM, Naresh Narang <<a href="mailto:nnarang@...15655...">nnarang@...15655...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div class="WordSection1" style="page: WordSection1; "><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); ">Here is a difference I found in “config order” between version 2.8.3 and 2.9.2.3 –</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); ">Before upgrade:</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><b><span style="font-size: 9pt; font-family: 'Courier New'; ">May 18</span></b><span style="font-size: 9pt; font-family: 'Courier New'; "><span class="Apple-converted-space"> </span>07:27:55 dc1infra01 snort[12293]: [ID 702911 daemon.notice] Rule application order:<span class="Apple-converted-space"> </span><span style="background-color: yellow; background-position: initial initial; background-repeat: initial initial; ">activation->dynamic->pass->drop->alert->log</span></span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); ">After upgrade:</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><b><span style="font-size: 9pt; font-family: 'Courier New'; ">May 27 00</span></b><span style="font-size: 9pt; font-family: 'Courier New'; ">:10:38 dc1infra01 snort[7021]: [ID 702911 daemon.notice] Rule application order:<span class="Apple-converted-space"> </span><span style="background-color: yellow; background-position: initial initial; background-repeat: initial initial; ">activation->dynamic->pass->drop->sdrop->reject->alert->log</span></span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); ">It seems that if snort doesn’t have any “alert” it would get dropped by “reject” and hence not get logged. I tried to change config order to the way it was before –</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: 'Courier New'; background-color: yellow; background-position: initial initial; background-repeat: initial initial; ">config order: activation dynamic pass drop alert log</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); ">in snort.conf but the change did not take effect.</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 8pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); ">--Naresh<o:p></o:p></span></div></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; color: rgb(0, 102, 0); "> </span></div><div><div style="border-style: solid none none; border-top-width: 1pt; border-top-color: rgb(181, 196, 223); padding: 3pt 0in 0in; "><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; ">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; "><span class="Apple-converted-space"> </span>Naresh Narang [mailto:nnarang@<a href="http://guardiananalytics.com/">guardiananalytics.com</a>]<span class="Apple-converted-space"> </span><br><b>Sent:</b><span class="Apple-converted-space"> </span>Sunday, May 27, 2012 9:17 AM<br><b>To:</b><span class="Apple-converted-space"> </span><a href="mailto:snort-users@lists.sourceforge.net">snort-users@...4137...orge.net</a><br><b>Subject:</b><span class="Apple-converted-space"> </span>[Snort-users] Snort 2.9.2.3 not logging<o:p></o:p></span></div></div></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; ">Hi all,<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; ">               I compiled latest version of Snort 2.9.2.3 with all the related software (daq etc.) on Solaris X86. Its running fine with no errors but is not logging anything to files. Files get created with epoch time stamp but stay at 0 bytes. Any ideas? If I run from command line, with –L option, I can log to files just fine. Snort.conf is same as it was before from ver 2.8.3, which was logging fine.<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; ">$ snort -V<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: 'Courier New'; ">   ,,_     -*> Snort! <*-<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: 'Courier New'; ">  o"  )~   Version 2.9.2.3 IPv6 GRE (Build 205)<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: 'Courier New'; ">   ''''    By Martin Roesch & The Snort Team:<span class="Apple-converted-space"> </span><a href="http://www.snort.org/snort/snort-team" style="color: purple; text-decoration: underline; ">http://www.snort.org/snort/snort-team</a><o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: 'Courier New'; ">           Copyright (C) 1998-2012 Sourcefire, Inc., et al.<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: 'Courier New'; ">           Using libpcap version 1.1.1<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: 'Courier New'; ">           Using PCRE version: 8.30 2012-02-04<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: 'Courier New'; ">           Using ZLIB version: 1.2.3<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; ">Running in IDS mode:<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 8pt; font-family: 'Courier New'; ">snort[7030]: [ID 702911 daemon.notice]</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 8pt; font-family: 'Courier New'; ">snort[7030]: [ID 702911 daemon.notice]         --== Initialization Complete ==--</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 8pt; font-family: 'Courier New'; ">snort[7030]: [ID 702911 daemon.notice] Commencing packet processing (pid=7030)</span><span style="font-size: 9pt; font-family: Arial, sans-serif; "><o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 8pt; font-family: 'Courier New'; ">barnyard2[8402]: [ID 702911 daemon.notice] Opened spool file '/var/log/snort/snort.u2.1338102640'</span><o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 8pt; font-family: 'Courier New'; ">barnyard2[8402]: [ID 702911 daemon.notice] Waiting for new data</span><span style="font-size: 9pt; font-family: Arial, sans-serif; "><o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; ">Thanks,<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><span style="font-size: 9pt; font-family: Arial, sans-serif; ">--Naresh</span><span style="font-size: 8pt; font-family: Arial, sans-serif; "><o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; "><o:p> </o:p></div></div>------------------------------------------------------------------------------<br>Live Security Virtual Conference<br>Exclusive live event will cover all the ways today's security and<span class="Apple-converted-space"> </span><br>threat landscape has changed and how IT managers can respond. Discussions<span class="Apple-converted-space"> </span><br>will include endpoint security, mobile security and the latest in malware<span class="Apple-converted-space"> </span><br>threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/_______________________________________________">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/_______________________________________________</a><br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br><br>Please visit <a href="http://blog.snort.org/">http://blog.snort.org</a> to stay current on all the latest Snort news!</div></blockquote></div><br></div></blockquote></div></blockquote></div><br></div></body></html>