<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri" size="2"><span style="font-size:11pt;">
<div>Pete</div>
<div> </div>
<div>The mysql user is root and it is configured in my barnyard2.conf. I tried blowing away my waldo file and restarting barnyard.</div>
<div> </div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:23 New-ids barnyard2[19072]:         --== Initializing Barnyard2 ==--</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:23 New-ids barnyard2[19072]: Initializing Input Plugins!</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:23 New-ids barnyard2[19072]: Initializing Output Plugins!</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:23 New-ids barnyard2[19072]: Parsing config file "/etc/snort/p1p1/barnyard2.conf"</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19072]: Log directory = /var/log/snort/p1p1</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19072]: Initializing daemon mode</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19072]: Daemon parent exiting</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: Daemon initialized, signaled parent pid: 19072</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: PID path stat checked out ok, PID path set to /var/run/</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: Writing PID "19074" to file "/var/run//barnyard2_p1p1.pid"</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: Last event seen for sid 1 was 0</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database: compiled support for (mysql)</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database: configured to use mysql</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database: schema version = 107</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:           host = 127.0.0.1</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:           port = 3306</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:           user = root</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:  database name = snorby</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:    sensor name = new-ids:p1p1</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:      sensor id = 1</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:     sensor cid = 1</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:  data encoding = hex</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:   detail level = full</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database:     ignore_bpf = no</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: database: using the "alert" facility</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]:</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]:         --== Initialization Complete ==--</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: Barnyard2 initialization completed successfully (pid=19074)</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: WARNING: Unable to open waldo file '/var/log/snort/p1p1/waldo' (No such file or directory)</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: Opened spool file '/var/log/snort/p1p1/snort.log.1338854746'</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: Closing spool file '/var/log/snort/p1p1/snort.log.1338854746'. Read 1 records</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: Opened spool file '/var/log/snort/p1p1/snort.log.1338857440'</span></font></div>
<div style="padding-left:36pt;"><font face="Courier New" size="2"><span style="font-size:10pt;">Jun  6 09:35:28 New-ids barnyard2[19074]: Waiting for new data</span></font></div>
<div> </div>
<div>As you can see it successfully opened the spool files and it recreated the waldo file, but still nothing in my mysql db!</div>
<div> </div>
<div>Regards,</div>
<div> </div>
<div>Michael</div>
<div> </div>
<div>-----Original Message-----<br>

From: Pete [<a href="mailto:magickal1@...11827...">mailto:magickal1@...5119...827...</a>] <br>

Sent: Wednesday, 6 June 2012 12:57 AM<br>

To: snort-users@lists.sourceforge.net<br>

Subject: Re: [Snort-users] Snort-users Digest, Vol 73, Issue 4</div>
<div> </div>
<div>make sure that you have added the remote sensor to the users in mysql.   if the remote sensor is not added then you will not see updates.  if that is all there the other thing you can do is to blow away the waldo file and restart snort/barnyard</div>
<div> </div>
<div>Sent from my iPad</div>
<div> </div>
<div>On Jun 4, 2012, at 11:29 PM, <a href="mailto:snort-users-request@...3204...ts.sourceforge.net">snort-users-request@lists.sourceforge.net</a> wrote:</div>
<div> </div>
<div>> Send Snort-users mailing list submissions to</div>
<div>>    <a href="mailto:snort-users@...5870....net">snort-users@lists.sourceforge.net</a></div>
<div>> </div>
<div>> To subscribe or unsubscribe via the World Wide Web, visit</div>
<div>>    <a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></div>
<div>> or, via email, send a message with subject or body 'help' to</div>
<div>>    <a href="mailto:snort-users-request@...974...rceforge.net">snort-users-request@lists.sourceforge.net</a></div>
<div>> </div>
<div>> You can reach the person managing the list at</div>
<div>>    <a href="mailto:snort-users-owner@...635...eforge.net">snort-users-owner@lists.sourceforge.net</a></div>
<div>> </div>
<div>> When replying, please edit your Subject line so it is more specific </div>
<div>> than "Re: Contents of Snort-users digest..."</div>
<div>> </div>
<div>> </div>
<div>> When responding, please don't respond with the entire Digest.  Please trim your response.</div>
<div>> </div>
<div>> Today's Topics:</div>
<div>> </div>
<div>>   1. Re: Barnyard2 not writting to Mysql snorby DB (Michael Green)</div>
<div>> </div>
<div>> </div>
<div>> ----------------------------------------------------------------------</div>
<div>> </div>
<div>> Message: 1</div>
<div>> Date: Tue, 5 Jun 2012 05:28:51 +0000</div>
<div>> From: Michael Green <<a href="mailto:Michael.Green@...14079....">Michael.Green@...4098...</a>></div>
<div>> Subject: Re: [Snort-users] Barnyard2 not writting to Mysql snorby DB</div>
<div>> To: 'Jan Seidl' <<a href="mailto:lists@...15522...">lists@...846....15522...</a>></div>
<div>> Cc: "<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>"</div>
<div>>    <<a href="mailto:snort-users@...4137...orge.net">snort-users@lists.sourceforge.net</a>></div>
<div>> Message-ID:</div>
<div>>    <<a href="mailto:EC681C4A4B384D49B9B1E9B5671860DE8AAB6D47@...15664...">EC681C4A4B384D49B9B1E9B5671860DE8AAB6D47@...15052...664...</a>></div>
<div>> Content-Type: text/plain; charset="utf-8"</div>
<div>> </div>
<div>> Jan</div>
<div>> </div>
<div>> Yes I have alerts. I can see that because /var/log/snort/alert has alerts listed and /var/log/snort/p1p1/snort.log.1338857440 is growing.</div>
<div>> </div>
<div>> Regards,</div>
<div>> </div>
<div>> Michael</div>
<div>> </div>
<div>> From: Jan Seidl <a href="mailto:[mailto:lists@...15522...]">[mailto:lists@...15522...]</a></div>
<div>> Sent: Tuesday, 5 June 2012 3:22 PM</div>
<div>> To: Michael Green</div>
<div>> Subject: Re: [Snort-users] Barnyard2 not writting to Mysql snorby DB</div>
<div>> </div>
<div>> Michael,</div>
<div>> </div>
<div>> Have you got any rules enabled?</div>
<div>> </div>
<div>> Did you made any action that could trigger an event?</div>
<div>> </div>
<div>> Under normal (safe) traffic, is normal to have no events.</div>
<div>> </div>
<div>> On 06/05/2012 01:17 AM, Michael Green wrote:</div>
<div>> <a href="mailto:[cid:image001.gif@...15665...]">[cid:image001.gif@...15665...]</a></div>
<div>> Hi</div>
<div>> </div>
<div>> I?ve just configured snort Version 2.9.2.3 in a test environment in preparation for upgrading my production server.</div>
<div>> </div>
<div>> I have it configured for unified2 output and have barnyard2 configured to output to mysql:</div>
<div>> </div>
<div>> ##  /etc/snort/p1p1/barnyard2.conf</div>
<div>> output database: log, mysql, user=xxx password=password dbname=snorby </div>
<div>> host=127.0.0.1 port=3306</div>
<div>> </div>
<div>> My snort start command:</div>
<div>> /usr/local/bin/snort -u snort -g snort -i p1p1 -c </div>
<div>> /etc/snort/p1p1/snort.conf -D</div>
<div>> </div>
<div>> My barnyard2 start command:</div>
<div>> /usr/local/bin/barnyard2 -c /etc/snort/p1p1/barnyard2.conf -u snort -g </div>
<div>> snort -d /var/log/snort/p1p1 -f snort.log -w /var/log/snort/p1p1/waldo </div>
<div>> -D</div>
<div>> </div>
<div>> Snort is alerting:</div>
<div>> New-ids 13:37:02 /var/log/snort/p1p1</div>
<div>> root # ls -la /var/log/snort/p1p1</div>
<div>> total 24</div>
<div>> drwxr-xr-x. 2 snort snort 4096 Jun  5 11:05 .</div>
<div>> drwxr-xr-x. 3 snort snort 4096 Jun  1 14:34 ..</div>
<div>> -rw-------. 1 snort snort   96 Jun  5 10:18 snort.log.1338854746</div>
<div>> -rw-------. 1 snort snort 8011 Jun  5 12:43 snort.log.1338857440 </div>
<div>> -rw-r--r--. 1 snort snort 2056 Jun  5 12:43 waldo</div>
<div>> </div>
<div>> And Barnyard2 is seeing the alerts. Relevant section from /var/log/messages follows:</div>
<div>> Jun  5 11:14:30 New-ids barnyard2[1995]: database: using the "log" </div>
<div>> facility Jun  5 11:14:30 New-ids barnyard2[1995]:</div>
<div>> Jun  5 11:14:30 New-ids barnyard2[1995]:         --== Initialization Complete ==--</div>
<div>> Jun  5 11:14:30 New-ids barnyard2[1995]: Barnyard2 initialization </div>
<div>> completed successfully (pid=1995) Jun  5 11:14:30 New-ids barnyard2[1995]: Using waldo file '/var/log/snort/p1p1/waldo':#012</div>
<div>>      spool directory = /var/log/snort/p1p1#012</div>
<div>>      spool filebase  = snort.log#012</div>
<div>>      time_stamp      = 1338857440#012</div>
<div>>      record_idx      = 0</div>
<div>> Jun  5 11:14:30 New-ids barnyard2[1995]: Opened spool file '/var/log/snort/p1p1/snort.log.1338857440'</div>
<div>> Jun  5 11:14:30 New-ids barnyard2[1995]: Waiting for new data</div>
<div>> </div>
<div>> But nothing is being written to my mysql snorby DB?</div>
<div>> </div>
<div>> I can log into mysql using the required credentials mysql -u xxx -p </div>
<div>> snorby</div>
<div>> </div>
<div>> but nothing is written.</div>
<div>> mysql> select * from event;</div>
<div>> Empty set (0.00 sec)</div>
<div>> </div>
<div>> I?m now lost, and would appreciate some guidance. What should I do next?</div>
<div>> </div>
<div>> Regards,</div>
<div>> </div>
<div>> Michael</div>
<div>> ________________________________</div>
<div>> Michael Green | Senior Network Engineer | GBST</div>
<div>> [Description: GBST]<<a href="http://www.gbst.com/">http://www.gbst.com/</a>></div>
<div>> </div>
<div>> The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and / or privileged material that may be governed by confidential information provisions contained in the agreement between GBST
and your company. Any disclosure, copying, distribution, or other use without the express consent of the sender is prohibited. If you received this in error, please contact the sender and delete the material from any computer. All rights in the information
transmitted, including copyright, are reserved. Nothing in this message should be interpreted as a digital signature that can be used to authenticate a document. No warranty is given by the sender that any attachments to this email are free from viruses or
other defects.</div>
<div>> </div>
<div>> </div>
<div>> </div>
<div>> </div>
<div>> ----------------------------------------------------------------------</div>
<div>> --------</div>
<div>> </div>
<div>> Live Security Virtual Conference</div>
<div>> </div>
<div>> Exclusive live event will cover all the ways today's security and</div>
<div>> </div>
<div>> threat landscape has changed and how IT managers can respond. </div>
<div>> Discussions</div>
<div>> </div>
<div>> will include endpoint security, mobile security and the latest in </div>
<div>> malware</div>
<div>> </div>
<div>> threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a></div>
<div>> </div>
<div>> </div>
<div>> </div>
<div>> </div>
<div>> _______________________________________________</div>
<div>> </div>
<div>> Snort-users mailing list</div>
<div>> </div>
<div>> <a href="mailto:Snort-users@lists.sourceforge.net<mailto:Snort-users@...5870...">Snort-users@lists.sourceforge.net<mailto:Snort-users@...5870...</a></div>
<div>> .net></div>
<div>> </div>
<div>> Go to this URL to change user options or unsubscribe:</div>
<div>> </div>
<div>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></div>
<div>> </div>
<div>> Snort-users list archive:</div>
<div>> </div>
<div>> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></div>
<div>> </div>
<div>> </div>
<div>> </div>
<div>> Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
<div>> </div>
<div>> The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and / or privileged material that may be governed by confidential information provisions contained in the agreement between GBST
and your company. Any disclosure, copying, distribution, or other use without the express consent of the sender is prohibited. If you received this in error, please contact the sender and delete the material from any computer. All rights in the information
transmitted, including copyright, are reserved. Nothing in this message should be interpreted as a digital signature that can be used to authenticate a document. No warranty is given by the sender that any attachments to this email are free from viruses or
other defects.</div>
<div>> -------------- next part -------------- An HTML attachment was </div>
<div>> scrubbed...</div>
<div>> -------------- next part -------------- A non-text attachment was </div>
<div>> scrubbed...</div>
<div>> Name: image001.gif</div>
<div>> Type: image/gif</div>
<div>> Size: 70 bytes</div>
<div>> Desc: image001.gif</div>
<div>> -------------- next part -------------- A non-text attachment was </div>
<div>> scrubbed...</div>
<div>> Name: image002.gif</div>
<div>> Type: image/gif</div>
<div>> Size: 1664 bytes</div>
<div>> Desc: image002.gif</div>
<div>> </div>
<div>> ------------------------------</div>
<div>> </div>
<div>> ----------------------------------------------------------------------</div>
<div>> --------</div>
<div>> Live Security Virtual Conference</div>
<div>> Exclusive live event will cover all the ways today's security and </div>
<div>> threat landscape has changed and how IT managers can respond. </div>
<div>> Discussions will include endpoint security, mobile security and the </div>
<div>> latest in malware threats. </div>
<div>> <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a></div>
<div>> </div>
<div>> ------------------------------</div>
<div>> </div>
<div>> _______________________________________________</div>
<div>> Snort-users mailing list</div>
<div>> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a></div>
<div>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></div>
<div>> </div>
<div>> </div>
<div>> End of Snort-users Digest, Vol 73, Issue 4</div>
<div>> ******************************************</div>
<div> </div>
<div>------------------------------------------------------------------------------</div>
<div>Live Security Virtual Conference</div>
<div>Exclusive live event will cover all the ways today's security and threat landscape has changed and how IT managers can respond. Discussions will include endpoint security, mobile security and the latest in malware threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a></div>
<div>_______________________________________________</div>
<div>Snort-users mailing list</div>
<div><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a></div>
<div>Go to this URL to change user options or unsubscribe:</div>
<div><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></div>
<div>Snort-users list archive:</div>
<div><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></div>
<div> </div>
<div>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
<div> </div>
<div><font face="Cambria" size="1"><span style="font-size:8pt;">The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and / or privileged material that may be governed by confidential information
provisions contained in the agreement between GBST and your company. Any disclosure, copying, distribution, or other use without the express consent of the sender is prohibited. If you received this in error, please contact the sender and delete the material
from any computer. All rights in the information transmitted, including copyright, are reserved. Nothing in this message should be interpreted as a digital signature that can be used to authenticate a document. No warranty is given by the sender that any attachments
to this email are free from viruses or other defects. </span></font></div>
</span></font>
</body>
</html>