<div>On Fri, Dec 14, 2012 at 11:42 AM, Cass, Mark A CTR (US) <<a href="mailto:mark.a.cass2.ctr@...16010...">mark.a.cass2.ctr@...16010...</a>> wrote:<br>><br>> Classification: UNCLASSIFIED<br>> Caveats: NONE<br>><br>
> Thank you for the reply.<br>> Let me see if I got this straight...<br>></div><div>Unfortunaly i think some things where not understood properly and i will try to reclarify them.</div><div><br>> I'll need to specify the -f option for barnyard2 and tell it the prefix naming convention of the files it needs to input to log to mysql database? </div>
<div> </div><div>Yes if in your snort.conf file you have output unified2: filename snort.log, limit 128</div><div> </div><div>Then the barnyard2 -f argument needs to be snort.log</div><div> </div><div> </div><div>> The reason for the barnyard2 aborting was because the test rule did not have a "rev:xxx" at the top >of the text file?  </div>
<div> </div><div>Not at the top of the file but in the rule body of your test rule</div><div> </div><div>icmp any any -> any any (msg:"blabla test rule"; sid:100000001;)</div><div>                                        |---------------RULE BODY-------------------|</div>
<div> </div><div>Should have been</div><div><div>icmp any any -> any any (msg:"blabla test rule"; sid:100000001; rev:1;)</div></div><div><div>                                        |---------------RULE BODY-------------------|</div>
</div><div> </div><div>>So when I downloaded the new rules from pulled pork, and commented out the test rule, should the rules downloaded from pulled pork not have had a revision with it already?  </div><div>>I'm going to have to go into a thousand files >and manually add >"rev:(some number)" to them all in order for it to work?  </div>
<div>>That seems really ridiculous.  And would I have to do this manually every time the rules are updated?<br>><br>> The last thing about the -G and -S options, I'm totally lost.  I'm just running it how the guide told me to, with those options.  You're saying that at this point, the -G -S options are not allowing barnyard2 to write the data to mysql?<br>
><br>> Thank you,<br>><br><br></div>