Hi,<br><br>maybe this could be the start?<br><br><pre style="margin:0em"><font>mysql> select * from event order by sid desc limit 10;</font><br></pre><br><br><br><div class="gmail_quote">On Tue, Dec 18, 2012 at 7:01 PM, Peter Bates <span dir="ltr"><<a href="mailto:peter.bates@...16006....." target="_blank">peter.bates@...15381...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
<br>
Hello all<br>
<br>
Not strictly a Snort problem but I've<br>
been posting to snort-users since 2000 so hopefully<br>
someone might take pity on me.<br>
<br>
Running multiple instances of Snort, so the easiest output<br>
is to a DB (MySQL in this case) via Barnyard2 - and using the<br>
standard Snort DB schema.<br>
<br>
In the past I'd log to pcap files and look through those, but<br>
only having the database, what I'd like to do is a SELECT for<br>
all events which match a particular SID - or possibly a source IP.<br>
<br>
In that SELECT I'd also like the packet contents - which I can try<br>
and decode.<br>
<br>
Obviously I can look in BASE (or similar) but it's not the quickest<br>
interface for looking at the packet contents of 1000+ alerts.<br>
<br>
Has anyone with vastly superior SQL-fu done anything similar?<br>
<br>
- --<br>
Peter Bates<br>
Senior Information Security Officer   Phone: <a href="tel:%2B44%280%292076792049" value="+442076792049">+44(0)2076792049</a><br>
Information Services Division         Internal Ext: 32049<br>
University College London<br>
London WC1E 6BT<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
Comment: Using GnuPG with undefined - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
<br>
iQEcBAEBAgAGBQJQ0E0FAAoJELhVoVpEMS6ROiUIAIfIXXWE+gMaZRi2aB+l6ZCI<br>
ahxltTxuTmPpEIxpHcdEkMiHGnTM5ffhRGrNBFkWdtVOZH6Dh9trostn+5I/Xsas<br>
Vrlv6dRGL2tx/uQWtHvE1NKnUK0naPaKIB9hP4dLMT/ptaugc6KIdKeP9gwUvttM<br>
D55IXZiPzFo+0KAQ+ahxi50HVP64kxiLQWtoD8uJFPn0kFoSqNiWvg4RFXY5H0ZX<br>
ouXjuYCRm+FYv9tMJt/Ff3sHT5q2O0+UfG5Z7y1XceFHWWFwZJe5I8WHf4TFepbk<br>
MwO/GwbUMr5h88WTk36a0bL/xlyl2DvoEzCXwereRVppZ2uLtliUfwdOPfZ+LdU=<br>
=J6Ps<br>
-----END PGP SIGNATURE-----<br>
<br>
<br>
------------------------------------------------------------------------------<br>
LogMeIn Rescue: Anywhere, Anytime Remote support for IT. Free Trial<br>
Remotely access PCs and mobile devices and provide instant support<br>
Improve your efficiency, and focus on delivering more value-add services<br>
Discover what IT Professionals Know. Rescue delivers<br>
<a href="http://p.sf.net/sfu/logmein_12329d2d" target="_blank">http://p.sf.net/sfu/logmein_12329d2d</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br>