<div dir="ltr"><div>Hi dave,</div><div> </div><div>In both of your barnyard2 configuration do you use </div><div>different information so that you have two sensor </div><div>in your sensor table?<br></div><div>Because if you use the same information, then it would</div>
<div>be seen as 1 sensor and you could hit a race condition</div><div>which could lead to this.</div><div> </div><div>So i would make sure that you both barnyard2 instances have different information,</div><div>and also make sure that you do not have an other barnayrd2 process in the backgroud .</div>
<div>Mabey launched by a startup script etc.</div><div> </div><div>This error would only happen if the transaction fail (duplicate key) or if your database die,</div><div>i suspect you have an other process also inserting and this is why your hitting this condition.</div>
<div> </div><div>-elz</div><div> </div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Dec 29, 2012 at 8:06 PM, Dave Corsello <span dir="ltr"><<a href="mailto:snort-users@...15598..." target="_blank">snort-users@...15598...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<br>
I'm running two Snort inline boxes--one on my LAN and one on my DMZ.<br>
I'm getting one or two sets of barnyard2 errors per day on each sensor,<br>
similar to the example below, since upgrading to Snort 2.9.3.1.  I'm<br>
running Barnyard2 ver. 2.1.11 Build 317, and the OS is Ubuntu Server<br>
10.04.3.  MySQL is running on a separate Ubuntu box. This same setup was<br>
working fine on both sensors prior to upgrading Snort. Any ideas?<br>
<br>
Thanks,<br>
Dave<br>
<br>
Example:<br>
<br>
Dec 28 17:20:23 snort1 barnyard2[5580]: [Database()]: Insertion of Query<br>
[INSERT INTO event (sid,cid,signature,timestamp) VALUES (1, 2123, 682,<br>
'2012-12-28 17:20:18');] failed<br>
Dec 28 17:20:23 snort1 barnyard2[5580]: WARNING database: [Database()]<br>
Failed transaction with current query transaction #012<br>
Dec 28 17:20:23 snort1 barnyard2[5580]: WARNING database: Failed Query<br>
Position [1] Failed Query Body [INSERT INTO event<br>
(sid,cid,signature,timestamp) VALUES (1, 2123, 682, '2012-12-28<br>
17:20:18');]<br>
Dec 28 17:20:23 snort1 barnyard2[5580]: WARNING database: Failed Query<br>
Position [2] Failed Query Body [INSERT INTO tcphdr (sid, cid, tcp_sport,<br>
tcp_dport, tcp_seq, tcp_ack, tcp_off, tcp_res, tcp_flags, tcp_win,<br>
tcp_csum, tcp_urp) VALUES<br>
(1,2123,45371,80,1719521233,533625699,8,0,24,115,48796,0);]<br>
Dec 28 17:20:23 snort1 barnyard2[5580]: WARNING database: Failed Query<br>
Position [3] Failed Query Body [INSERT INTO opt<br>
(sid,cid,optid,opt_proto,opt_code,opt_len,opt_data) VALUES<br>
(1,2123,2,6,8,8,'0562CF7A899C1338');]<br>
Dec 28 17:20:23 snort1 barnyard2[5580]: WARNING database: Failed Query<br>
Position [4] Failed Query Body [INSERT INTO iphdr (sid, cid, ip_src,<br>
ip_dst, ip_ver, ip_hlen, ip_tos, ip_len, ip_id, ip_flags, ip_off,ip_ttl,<br>
ip_proto, ip_csum) VALUES<br>
(1,2123,1962855192,169100811,4,5,0,237,347,0,0,41,6,49018);]<br>
Dec 28 17:20:23 snort1 barnyard2[5580]: WARNING database: Failed Query<br>
Position [5] Failed Query Body [INSERT INTO data (sid,cid,data_payload)<br>
VALUES<br>
(1,2123,'474554202F77303074773030742E61742E626C61636B686174732E726F6D616E69616E2E616E74692D7365633A2920485454502F312E310D0A4163636570743A202A2F2A0D0A4163636570742D4C616E67756167653A20656E2D75730D0A4163636570742D456E636F64696E673A20677A69702C206465666C6174650D0A557365722D4167656E743A205A6D45750D0A486F73743A2030302E30302E30302E30300D0A436F6E6E656374696F6E3A20436C6F73650D0A0D0A');]<br>

<br>
Dec 28 17:20:23 snort1 barnyard2[5580]: WARNING database [Database()]:<br>
End of failed transaction block<br>
<br>
(I replaced the IP info in the data payload in the next to last warning<br>
with 00.00.00.00.)<br>
<br>
------------------------------------------------------------------------------<br>
Master Visual Studio, SharePoint, SQL, <a href="http://ASP.NET" target="_blank">ASP.NET</a>, C# 2012, HTML5, CSS,<br>
MVC, Windows 8 Apps, JavaScript and much more. Keep your skills current<br>
with LearnDevNow - 3,200 step-by-step video tutorials by Microsoft<br>
MVPs and experts. ON SALE this month only -- learn more at:<br>
<a href="http://p.sf.net/sfu/learnmore_123012" target="_blank">http://p.sf.net/sfu/learnmore_123012</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br></div>