<p>It looks like you are using snort to output to a database. It is more efficient to use barnyard2 to do database output.<br></p>
<p>On Sep 7, 2012 9:32 PM, "PR" <<a href="mailto:oly562@...391...1827...">oly562@...11827...</a>> wrote:<br>
><br>
> welp, here is where i am today at this moment in time....<br>
><br>
> i fanagled my way around, and it works, yet there is still some errors<br>
> im getting from 2.9.2. ps joel i didnt have to wait so i guess im a<br>
> subscriber lol. it's beens remember, i dont remember, and down below<br>
> shows just how long, i have 3 keys plus 1 new or old, i think thats the<br>
> newer one. i used one replicated and got the 2.9.2 rules. all i want is<br>
> for this to work from a debian/ubuntu build with as little hassle as<br>
> possible. looks like i got most of it, as <a href="http://pulledpork.pl">pulledpork.pl</a> via<br>
> pulledpork.conf was looking for older community rules, i assume that is<br>
> where you mean no support as in it's not automajic. anyfoo..<br>
><br>
> here are the results so far. im done for the day, i will now read any<br>
> responses in my email about all this.... maybe gain some new insite from<br>
> others, as usual i had to figure it all by myself:<br>
><br>
> # ./<a href="http://pulledpork.pl">pulledpork.pl</a> -c /usr/local/etc/pulledpork-0.6.1/etc/pulledpork.conf<br>
> -I Security<br>
><br>
>     <a href="http://code.google.com/p/pulledpork/">http://code.google.com/p/pulledpork/</a><br>
>       _____ ____<br>
>      `----,\    )<br>
>       `--==\\  /    PulledPork v0.6.1 the Smoking Pig <////~<br>
>        `--==\\/<br>
>      .-~~~~-.Y|\\_  Copyright (C) 2009-2011 JJ Cummings<br>
>   @_/        /  66\_  <a href="mailto:cummingsj@...14540...27...">cummingsj@...11827...</a><br>
>     |    \   \   _(")<br>
>      \   /-| ||'--'  Rules give me wings!<br>
>       \_\  \_\\<br>
>  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br>
><br>
> Checking latest MD5 for snortrules-snapshot-2920.tar.gz....<br>
>         They Match<br>
>         Done!<br>
> Prepping rules from snortrules-snapshot-2920.tar.gz for work....<br>
>         Done!<br>
> Reading rules...<br>
> Generating Stub Rules....<br>
>         An error occurred: !! WARNING: The database output plugins are<br>
> considered deprecated as<br>
><br>
>         An error occurred: WARNING: ip4 normalizations disabled because not<br>
> inline.<br>
><br>
>         An error occurred: WARNING: tcp normalizations disabled because not<br>
> inline.<br>
><br>
>         An error occurred: WARNING: icmp4 normalizations disabled because not<br>
> inline.<br>
><br>
>         An error occurred: WARNING: ip6 normalizations disabled because not<br>
> inline.<br>
><br>
>         An error occurred: WARNING: icmp6 normalizations disabled because not<br>
> inline.<br>
><br>
>         Done<br>
> Reading rules...<br>
> Reading rules...<br>
> Reading rules...<br>
> Activating Security rulesets....<br>
>         Done<br>
> Setting Flowbit State....<br>
>         Enabled 637 flowbits<br>
>         Enabled 47 flowbits<br>
>         Enabled 4 flowbits<br>
>         Enabled 2 flowbits<br>
>         Done<br>
> Writing /etc/snort/rules/snort.rules....<br>
>         Done<br>
> Writing /usr/local/etc/snort/rules/so_rules.rules....<br>
>         Done<br>
> Generating sid-msg.map....<br>
>         Done<br>
> Writing /usr/local/etc/snort/sid-msg.map....<br>
>         Done<br>
> Writing /var/log/sid_changes.log....<br>
>         Done<br>
> Rule Stats....<br>
>         New:-------0<br>
>         Deleted:---0<br>
>         Enabled Rules:----6129<br>
>         Dropped Rules:----0<br>
>         Disabled Rules:---6875<br>
>         Total Rules:------13004<br>
>         Done<br>
> Please review /var/log/sid_changes.log for additional details<br>
> Fly Piggy Fly!<br>
><br>
><br>
> suggestions about the error above? thanks. pete<br>
><br>
> On Fri, 2012-09-07 at 18:17 -0400, Joel Esler wrote:<br>
> > If you are not a subscriber, yes. You'll need to wait your 15 minutes.<br>
> ><br>
> > But no, 2.9.2 is no longer supported. Please see the bottom of <a href="http://www.snort.org/vrt/rules/eol_policyfor">http://www.snort.org/vrt/rules/eol_policyfor</a> currently supported versions and when they will expire.<br>

> ><br>
> > --<br>
> > Joel Esler<br>
> ><br>
> > On Sep 7, 2012, at 4:17 PM, PR <<a href="mailto:oly562@...5119...827...">oly562@...11827...</a>> wrote:<br>
> ><br>
> > > i guess i should wait 15 mins? i dont think i can grab another since i<br>
> > > dont pay for rules... what do you think? should i just go for it?<br>
> > ><br>
> > ><br>
> > ><br>
> > > On Fri, 2012-09-07 at 13:15 -0700, PR wrote:<br>
> > >> next error... i mv'd this file, guess i should put it back...<br>
> > >><br>
> > >> ./<a href="http://pulledpork.pl">pulledpork.pl</a> -c /usr/local/etc/pulledpork-0.6.1/etc/pulledpork.conf<br>
> > >> -I Security<br>
> > >><br>
> > >>    <a href="http://code.google.com/p/pulledpork/">http://code.google.com/p/pulledpork/</a><br>
> > >>      _____ ____<br>
> > >>     `----,\    )<br>
> > >>      `--==\\  /    PulledPork v0.6.1 the Smoking Pig <////~<br>
> > >>       `--==\\/<br>
> > >>     .-~~~~-.Y|\\_  Copyright (C) 2009-2011 JJ Cummings<br>
> > >>  @...3277.../        /  66\_  <a href="mailto:cummingsj@...11827...">cummingsj@...11827...</a><br>
> > >>    |    \   \   _(")<br>
> > >>     \   /-| ||'--'  Rules give me wings!<br>
> > >>      \_\  \_\\<br>
> > >> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br>
> > >><br>
> > >> Checking latest MD5 for snortrules-snapshot-2920.tar.gz....<br>
> > >> Rules tarball download of snortrules-snapshot-2920.tar.gz....<br>
> > >>    They Match<br>
> > >>    Done!<br>
> > >> Prepping rules from snortrules-snapshot-2920.tar.gz for work....<br>
> > >>    Done!<br>
> > >> Reading rules...<br>
> > >> Generating Stub Rules....<br>
> > >>    An error occurred: ERROR: Unable to open rules file<br>
> > >> "/usr/local/etc/snort/database.conf": No such file or directory.<br>
> > >><br>
> > >>    An error occurred: Fatal Error, Quitting..<br>
> > >><br>
> > >><br>
> > >> more to follow....<br>
> > >><br>
> > >> On Fri, 2012-09-07 at 12:30 -0700, PR wrote:<br>
> > >>> opps, i figured out my mistake lolol...<br>
> > >>><br>
> > >>> ok but now i run into the same prob as before. versioning!<br>
> > >>><br>
> > >>><br>
> > >>> here is what i get when i do the cmd properly at tail of stdout:<br>
> > >>><br>
> > >>> The specified Snort binary does not exist!<br>
> > >>> Please correct the value or specify the FULL rules tarball name in the<br>
> > >>> pulledpork.conf!<br>
> > >>> at ./<a href="http://pulledpork.pl">pulledpork.pl</a> line 1736.<br>
> > >>><br>
> > >>> i will goto <a href="http://pulledpork.pl">pulledpork.pl</a> line 1736 now. brb.......<br>
> > >>><br>
> > >>><br>
> > >>><br>
> > >>> ok, i thought, no i swear it says on <a href="http://snort.org">snort.org</a> page, pulledpork will<br>
> > >>> automajically decide which version to download/upgrade rules too.<br>
> > >>><br>
> > >>><br>
> > >>> -*> Snort! <*-<br>
> > >>>  o"  )~   Version 2.9.2 IPv6 GRE (Build 78)<br>
> > >>>   ''''    By Martin Roesch & The Snort Team:<br>
> > >>><br>
> > >>> so...... let me guess 2.9.2 isnt "supported" here is what i think, i<br>
> > >>> think it's too hard for anyone to simply update rules unless you always<br>
> > >>> update your snort program to the same version, thats just ludacrious!<br>
> > >>><br>
> > >>> yes im running acidbase, yes it was loaded with apt-get install<br>
> > >>> snort-mysql snort acidbase, so what...<br>
> > >>><br>
> > >>> i can move files and confs to point in right direction, not the issue,<br>
> > >>> its the updating of the snort program and ONLY allowing automation to<br>
> > >>> those who either<br>
> > >>> 1. pay<br>
> > >>> 2. pay to have you guys install<br>
> > >>> 3. pay to stay current<br>
> > >>> 4. pay pay pay, rather than providing a script that keeps the snort<br>
> > >>> program updated no matter what version you have in reason like 2.9.x<br>
> > >>> 5. How about fixing that perl script on the server side to allows us to<br>
> > >>> download the files automajically as it claims<br>
> > >>><br>
> > >>> i used snort since the begging, it always was easy to update so forth,<br>
> > >>> but now, it's getting silly.<br>
> > >>><br>
> > >>> ok, there im done ranting, however, i still need FREE input, like<br>
> > >>> community input.<br>
> > >>><br>
> > >>> if not, as usual i will just figure it out, may take a while but i'll<br>
> > >>> get it, i have before, and can do again. im complaining becuz its not<br>
> > >>> simple anymore. or as simple as it can be to download some rules<br>
> > >>> automatically.<br>
> > >>><br>
> > >>> sighs.... you can comment if you like, but i know each of you have been<br>
> > >>> here before at some point in your snorting career...<br>
> > >>><br>
> > >>><br>
> > >>><br>
> > >>> On Fri, 2012-09-07 at 12:13 -0700, PR wrote:<br>
> > >>>> hi all,<br>
> > >>>><br>
> > >>>><br>
> > >>>> 1. modified and created dirs for what pulledpork.conf requires as root<br>
> > >>>> user.<br>
> > >>>><br>
> > >>>><br>
> > >>>> 2. ran this cmd:<br>
> > >>>><br>
> > >>>> root@...15806...:/usr/local/etc/pulledpork-0.6.1/etc# ./pulledpork.conf -c /usr/local/etc/pulledpork-0.6.1/etc/pulledpork.conf -I Security<br>
> > >>>><br>
> > >>>><br>
> > >>>> 3. got this error:<br>
> > >>>><br>
> > >>>> root@...15806...:/usr/local/etc/pulledpork-0.6.1/etc# ./pulledpork.conf -c /usr/local/etc/pulledpork-0.6.1/etc/pulledpork.conf -I Security<br>
> > >>>> ./pulledpork.conf: line 21: 6d31c34a34b8e7d8a42751d16b50e3dda634XXXX:<br>
> > >>>> command not found<br>
> > >>>> ./pulledpork.conf: line 21: snortrules-snapshot.tar.gz: command not<br>
> > >>>> found<br>
> > >>>><br>
> > >>>><br>
> > >>>> 4. here is the conf in entirety:<br>
> > >>>><br>
> > >>>> # more pulledpork.conf<br>
> > >>>> # Config file for pulledpork<br>
> > >>>> # Be sure to read through the entire configuration file<br>
> > >>>> # If you specify any of these items on the command line, it WILL take<br>
> > >>>> # precedence over any value that you specify in this file!<br>
> > >>>><br>
> > >>>> #######<br>
> > >>>> #######  The below section defines what your oinkcode is (required<br>
> > >>>> for<br>
> > >>>> #######  VRT rules), defines a temp path (must be writable) and also<br>
> > >>>> #######  defines what version of rules that you are getting (for your<br>
> > >>>> #######  snort version and subscription etc...)<br>
> > >>>> #######<br>
> > >>>><br>
> > >>>> # The rule_url value replaces the old base_url and rule_file<br>
> > >>>> configuration<br>
> > >>>> # options.  You can now specify one or as many rule_urls as you like,<br>
> > >>>> they<br>
> > >>>> # must appear as <a href="http://what.site.com/|rulesfile.tar.gz|1234567">http://what.site.com/|rulesfile.tar.gz|1234567</a>.  You<br>
> > >>>> can specif<br>
> > >>>> y<br>
> > >>>> # each on an individual line, or you can specify them in a , separated<br>
> > >>>> list<br>
> > >>>> # i.e. rule_url=<a href="http://x.y.z/|a.tar.gz|123,http://z.y.z/|b.tar.gz|456">http://x.y.z/|a.tar.gz|123,http://z.y.z/|b.tar.gz|456</a><br>
> > >>>> # note that the url, rule file, and oinkcode itself are separated by a<br>
> > >>>> pipe |<br>
> > >>>> # i.e. url|tarball|123456789,<br>
> > >>>> #rule_url=<a href="https://www.snort.org/reg-rules/|">https://www.snort.org/reg-rules/|</a><br>
> > >>>> snortrules-snapshot.tar.gz|<oinkcode><br>
> > >>>><br>
> > >>>><br>
> > >>>><br>
> > >>>> ##*** ( here is line 21 )***<br>
> > >>>><br>
> > >>>> rule_url=<a href="https://www.snort.org/reg-rules/|snortrules-snapshot.tar.gz|">https://www.snort.org/reg-rules/|snortrules-snapshot.tar.gz|</a><br>
> > >>>> 6d31c34a34b<br>
> > >>>> 8e7d8a42751d16b50e3dda634XXXX<br>
> > >>>><br>
> > >>>> # get the rule docs!<br>
> > >>>> #rule_url=<a href="https://www.snort.org/reg-rules/|opensource.gz|">https://www.snort.org/reg-rules/|opensource.gz|</a><br>
> > >>>> 6d31c34a34b8e7d8a42751d<br>
> > >>>> 16b50e3dda634XXXX<br>
> > >>>><br>
> > >>>><br>
> > >>>><br>
> > >>>> #rule_url=<a href="https://rules.emergingthreats.net/|emerging.rules.tar.gz|">https://rules.emergingthreats.net/|emerging.rules.tar.gz|</a><br>
> > >>>> open<br>
> > >>>> # THE FOLLOWING URL is for etpro downloads, note the tarball name<br>
> > >>>> change!<br>
> > >>>> # and the et oinkcode requirement!<br>
> > >>>> #rule_url=<a href="https://rules.emergingthreats.net/|etpro.rules.tar.gz|">https://rules.emergingthreats.net/|etpro.rules.tar.gz|</a><et<br>
> > >>>> oinkcode><br>
> > >>>> # NOTE above that the VRT snortrules-snapshot does not contain the<br>
> > >>>> version<br>
> > >>>> # portion of the tarball name, this is because PP now automatically<br>
> > >>>> populates<br>
> > >>>> # this value for you, if, however you put the version information in,<br>
> > >>>> PP will<br>
> > >>>> # NOT populate this value but will use your value!<br>
> > >>>><br>
> > >>>> # Specify rule categories to ignore from the tarball in a comma<br>
> > >>>> separated list<br>
> > >>>> # with no spaces.  There are four ways to do this:<br>
> > >>>> # 1) Specify the category name with no suffix at all to ignore the<br>
> > >>>> category<br>
> > >>>> #    regardless of what rule-type it is, ie: netbios<br>
> > >>>> # 2) Specify the category name with a '.rules' suffix to ignore only<br>
> > >>>> gid 1<br>
> > >>>> #    rulefiles located in the /rules directory of the tarball, ie:<br>
> > >>>> policy.rules<br>
> > >>>> # 3) Specify the category name with a '.preproc' suffix to ignore only<br>
> > >>>> #    preprocessor rules located in the /preproc_rules directory of the<br>
> > >>>> tarball,<br>
> > >>>> #    ie: sensitive-data.preproc<br>
> > >>>> # 4) Specify the category name with a '.so' suffix to ignore only<br>
> > >>>> shared-object<br>
> > >>>> #    rules located in the /so_rules directory of the tarball, ie:<br>
> > >>>> netbios.so<br>
> > >>>> # The example below ignores dos rules wherever they may appear,<br>
> > >>>> sensitive-<br>
> > >>>> # data preprocessor rules, p2p so-rules (while including gid 1 p2p<br>
> > >>>> rules),<br>
> > >>>> # and netbios gid-1 rules (while including netbios so-rules):<br>
> > >>>> # ignore = dos,sensitive-data.preproc,p2p.so,netbios.rules<br>
> > >>>> # These defaults are reasonable for the VRT ruleset with Snort<br>
> > >>>> 2.9.0.x.<br>
> > >>>> ignore=deleted.rules,experimental.rules,local.rules<br>
> > >>>> # IMPORTANT, if you are NOT yet using 2.8.6 then you MUST comment out<br>
> > >>>> the<br>
> > >>>> # previous ignore line and uncomment the following!<br>
> > >>>> #<br>
> > >>>> ignore=deleted,experimental,local,decoder,preprocessor,sensitive-data<br>
> > >>>><br>
> > >>>> # Define your Oinkcode - DEPRICATED, SEE RULE_URL<br>
> > >>>> # oinkcode=replacethiswithyouroinkcode<br>
> > >>>><br>
> > >>>> # What is our temp path, be sure this path has a bit of space for<br>
> > >>>> rule<br>
> > >>>> # extraction and manipulation, no trailing slash<br>
> > >>>> temp_path=/tmp<br>
> > >>>><br>
> > >>>> #######<br>
> > >>>> #######  The below section is for rule processing.  This section is<br>
> > >>>> #######  required if you are not specifying the configuration using<br>
> > >>>> #######  runtime switches.  Note that runtime switches do SUPERSEED<br>
> > >>>> #######  any values that you have specified here!<br>
> > >>>> #######<br>
> > >>>><br>
> > >>>> # What path you want the .rules file containing all of the processed<br>
> > >>>> # rules? (this value has changed as of 0.4.0, previously we copied<br>
> > >>>> # all of the rules, now we are creating a single large rules file<br>
> > >>>> # but still keeping a separate file for your so_rules!<br>
> > >>>> rule_path=/usr/local/etc/snort/rules/snort.rules<br>
> > >>>><br>
> > >>>> # What path you want the .rules files to be written to, this is UNIQUE<br>
> > >>>> # from the rule_path and cannot be used in conjunction, this is to be<br>
> > >>>> used with<br>
> > >>>> the<br>
> > >>>> # -k runtime flag, this can be set at runtime using the -K flag or<br>
> > >>>> specified<br>
> > >>>> # here.  If specified here, the -k option must also be passed at<br>
> > >>>> runtime, however<br>
> > >>>> # specifying -K <path> at runtime forces the -k option to also be set<br>
> > >>>><br>
> > >>>><br>
> > >>>> ###(created all the dirs and pointed to currently snort.conf )<br>
> > >>>><br>
> > >>>> # out_path=/usr/local/etc/snort/rules/<br>
> > >>>><br>
> > >>>> # If you are running any rules in your local.rules file, we need to<br>
> > >>>> # know about them to properly build a sid-msg.map that will contain<br>
> > >>>> your<br>
> > >>>> # local.rules metadata (msg) information.  You can specify other rules<br>
> > >>>> # files that are local to your system here by adding a comma and more<br>
> > >>>> paths...<br>
> > >>>> # remember that the FULL path must be specified for EACH value.<br>
> > >>>> # local_rules=/path/to/these.rules,/path/to/those.rules<br>
> > >>>> ###(yadda)<br>
> > >>>><br>
> > >>>> local_rules=/usr/local/etc/snort/rules/local.rules<br>
> > >>>><br>
> > >>>> # Where should I put the sid-msg.map file?<br>
> > >>>> sid_msg=/usr/local/etc/snort/sid-msg.map<br>
> > >>>><br>
> > >>>> # Where do you want me to put the sid changelog?  This is a changelog<br>
> > >>>> # that pulledpork maintains of all new sids that are imported<br>
> > >>>> sid_changelog=/var/log/sid_changes.log<br>
> > >>>> # this value is optional<br>
> > >>>><br>
> > >>>> #######<br>
> > >>>> #######  The below section is for so_rule processing only.  If you<br>
> > >>>> don't<br>
> > >>>> #######  need to use them.. then comment this section out!<br>
> > >>>> #######  Alternately, if you are not using pulledpork to process<br>
> > >>>> #######  so_rules, you can specify -T at runtime to bypass this<br>
> > >>>> altogether<br>
> > >>>> #######<br>
> > >>>><br>
> > >>>> # What path you want the .so files to actually go to *i.e. where is it<br>
> > >>>> # defined in your snort.conf, needs a trailing slash<br>
> > >>>> sorule_path=/usr/local/lib/snort_dynamicrules/<br>
> > >>>><br>
> > >>>> # Path to the snort binary, we need this to generate the stub files<br>
> > >>>> #snort_path=/usr/local/bin/snort<br>
> > >>>><br>
> > >>>> (modified current path)<br>
> > >>>><br>
> > >>>> snort_path=/usr/sbin/snort<br>
> > >>>><br>
> > >>>> # We need to know where your snort.conf file lives so that we can<br>
> > >>>> # generate the stub files<br>
> > >>>><br>
> > >>>> config_path=/usr/local/etc/snort/snort.conf<br>
> > >>>><br>
> > >>>> # This is the file that contains all of the shared object rules that<br>
> > >>>> pulledpork<br>
> > >>>> # has processed, note that this has changed as of 0.4.0 just like the<br>
> > >>>> rules_path<br>
> > >>>> !<br>
> > >>>> sostub_path=/usr/local/etc/snort/rules/so_rules.rules<br>
> > >>>><br>
> > >>>> # Define your distro, this is for the precompiled shared object libs!<br>
> > >>>> # Valid Distro Types=Debian-Lenny, Ubuntu-6.01.1, Ubuntu-8.04<br>
> > >>>> # CentOS-4.6, Centos-4-8, CentOS-5.0, Centos-5-4<br>
> > >>>> # FC-5, FC-9, FC-11, FC-12, RHEL-5.0<br>
> > >>>> # FreeBSD-6.3, FreeBSD-7-2, FreeBSD-7-3, FreeBSD-7.0, FreeBSD-8-0,<br>
> > >>>> FreeBSD-8-1<br>
> > >>>> # OpenSUSE-11-3<br>
> > >>>> distro=FreeBSD-8.0<br>
> > >>>><br>
> > >>>> #######  This next section is optional, but probably pretty useful to<br>
> > >>>> you.<br>
> > >>>> #######  Please read thoroughly!<br>
> > >>>><br>
> > >>>> # What do you want to backup and archive?  This is a comma separated<br>
> > >>>> list<br>
> > >>>> # of file or directory values.  If a directory is specified, PP will<br>
> > >>>> recurse<br>
> > >>>> # through said directory and all subdirectories to archive all files.<br>
> > >>>> # The following example backs up all snort config files, rules,<br>
> > >>>> pulledpork<br>
> > >>>> # config files, and snort shared object binary rules.<br>
> > >>>> #<br>
> > >>>> backup=/usr/local/etc/snort,/usr/local/etc/pulledpork,/usr/local/lib/snort_dyn<br>
> > >>>> amicrules/<br>
> > >>>><br>
> > >>>> # what path and filename should we use for the backup tarball?<br>
> > >>>> # note that an epoch time value and the .tgz extension is<br>
> > >>>> automatically added<br>
> > >>>> # to the backup_file name on completeion i.e. the written file is:<br>
> > >>>> # pp_backup.1295886020.tgz<br>
> > >>>> # backup_file=/tmp/pp_backup<br>
> > >>>><br>
> > >>>> # Where do you want the signature docs to be copied, if this is<br>
> > >>>> commented<br>
> > >>>> # out then they will not be copied / extracted.  Note that extracting<br>
> > >>>> them<br>
> > >>>> # will add considerable runtime to pulledpork.<br>
> > >>>> # docs=/path/to/base/www<br>
> > >>>><br>
> > >>>> # The following option, state_order, allows you to more finely control<br>
> > >>>> the order<br>
> > >>>> # that pulledpork performs the modify operations, specifically the<br>
> > >>>> enablesid<br>
> > >>>> # disablesid and dropsid functions.  An example use case here would be<br>
> > >>>> to<br>
> > >>>> # disable an entire category and later enable only a rule or two out<br>
> > >>>> of it.<br>
> > >>>> # the valid values are disable, drop, and enable.<br>
> > >>>> # state_order=disable,drop,enable<br>
> > >>>><br>
> > >>>><br>
> > >>>> # Define the path to the pid files of any running process that you<br>
> > >>>> want to<br>
> > >>>> # HUP after PP has completed its run.<br>
> > >>>> #<br>
> > >>>> pid_path=/var/run/snort.pid,/var/run/barnyard.pid,/var/run/barnyard2.pid<br>
> > >>>> # and so on...<br>
> > >>>> # pid_path=/var/run/snort_eth0.pid<br>
> > >>>><br>
> > >>>> # This defines the version of snort that you are using, for use ONLY<br>
> > >>>> if the<br>
> > >>>> # proper snort binary is not on the system that you are fetching the<br>
> > >>>> rules with<br>
> > >>>> # Defining this value will set the Textonly flag, and thus will NOT<br>
> > >>>> allow<br>
> > >>>> # you to use shared object rules.  This value MUST contain all 4 minor<br>
> > >>>> version<br>
> > >>>> # numbers. ET rules are now also dependant on this, verify supported<br>
> > >>>> ET versions<br>
> > >>>> # prior to simply throwing rubbish in this variable kthx!<br>
> > >>>> # snort_version=2.9.0.0<br>
> > >>>><br>
> > >>>> # Here you can specify what rule modification files to run<br>
> > >>>> automatically.<br>
> > >>>> # simply uncomment and specify the apt path.<br>
> > >>>> # enablesid=/usr/local/etc/snort/enablesid.conf<br>
> > >>>> # dropsid=/usr/local/etc/snort/dropsid.conf<br>
> > >>>> # disablesid=/usr/local/etc/snort/disablesid.conf<br>
> > >>>> # modifysid=/usr/local/etc/snort/modifysid.conf<br>
> > >>>><br>
> > >>>> # What is the base ruleset that you want to use, please uncomment to<br>
> > >>>> use<br>
> > >>>> # and see the README.RULESETS for a description of the options.<br>
> > >>>> # Note that setting this value will disable all ET rulesets if you<br>
> > >>>> are<br>
> > >>>> # Running such rulesets<br>
> > >>>> # ips_policy=security<br>
> > >>>><br>
> > >>>> ####### Remember, a number of these values are optional.. if you<br>
> > >>>> don't<br>
> > >>>> ####### need to process so_rules, simply comment out the so_rule<br>
> > >>>> section<br>
> > >>>> ####### you can also specify -T at runtime to process only GID 1<br>
> > >>>> rules.<br>
> > >>>><br>
> > >>>> version=0.6.0<br>
> > >>>><br>
> > >>>><br>
> > >>>> 5. your thoughts? your suggestions?<br>
> > >>>><br>
> > >>>> thanks, pete<br>
> > ><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
> Live Security Virtual Conference<br>
> Exclusive live event will cover all the ways today's security and<br>
> threat landscape has changed and how IT managers can respond. Discussions<br>
> will include endpoint security, mobile security and the latest in malware<br>
> threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</p>