<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Is this referring to alert, drop, log, pass, etc?</div><div><br></div><div>If so are you saying its possible that I can create a type to have to execute a command to the shell based on a specific alert?</div><div><br></div><div>This is what I'm looking for. </div><div><br></div><div>For example if rule 1:2924 gets triggered I not only want to alert me about it but actually kick of a script to so something in case it's in the middle of the night or I'm simply at lunch.  To automate certain known alerts that are harmful and could spread though the LAN. Maybe I would even shut off the switch port that the device is connected to if it has virus. </div><div><br></div><div>Does snort have this ability?  Can barnyard2?  I like using abilities of a given program and would prefer not adding another layer of complexity to the equation such as swatch but if that is what I need ill use it.</div><div><br></div><div>What is the best practice for having scripts kick off to the shell based on specific alerts?</div><div><br></div><div>Thanks again<br>Nick</div><div><br>On Jan 25, 2013, at 12:08 PM, Nicholas Horton <<a href="mailto:fivetenets@...14399...">fivetenets@...14399...</a>> wrote:<br><br></div><blockquote type="cite"><div><meta http-equiv="content-type" content="text/html; charset=utf-8"><div>Perfect. Thanks. Ill take a look in the manual. <br><br>Nick</div><div><br>On Jan 25, 2013, at 12:00 PM, Y M <<a href="mailto:snort@...15979...">snort@...15979...</a>> wrote:<br><br></div><blockquote type="cite"><div>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<div>
<div style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif">You can also use custom action types. You define them in snort.conf file, and use the new custom action type with your rules. Sorry can't provide resources at the moment, but it should be in the
 manual.<br>
<br>
YM</div>
</div>
<div dir="ltr">
<hr>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">From:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif"><a href="mailto:fivetenets@...14399...">Nicholas Horton</a></span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">Sent:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif">‎1/‎25/‎2013 7:26 PM</span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">To:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif"><a href="mailto:snort-users@lists.sourceforge.net">Snort Users</a></span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">Subject:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif">[Snort-users] Real Time Alert and Variables</span><br>
<br>
</div>
<div class="BodyFragment"><font size="2"><span style="font-size:10pt;">
<div class="PlainText">Is swatch still the best, only, current solution to kick off a script with variables such as source ip based on a specific snort alert?<br>
<br>
Nick<br>
<br>
------------------------------------------------------------------------------<br>
Master Visual Studio, SharePoint, SQL, <a href="http://ASP.NET">ASP.NET</a>, C# 2012, HTML5, CSS,<br>
MVC, Windows 8 Apps, JavaScript and much more. Keep your skills current<br>
with LearnDevNow - 3,200 step-by-step video tutorials by Microsoft<br>
MVPs and experts. ON SALE this month only -- learn more at:<br>
<a href="http://p.sf.net/sfu/learnnow-d2d">http://p.sf.net/sfu/learnnow-d2d</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div>
</span></font></div>


</div></blockquote></div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br><span>Master Visual Studio, SharePoint, SQL, <a href="http://ASP.NET">ASP.NET</a>, C# 2012, HTML5, CSS,</span><br><span>MVC, Windows 8 Apps, JavaScript and much more. Keep your skills current</span><br><span>with LearnDevNow - 3,200 step-by-step video tutorials by Microsoft</span><br><span>MVPs and experts. ON SALE this month only -- learn more at:</span><br><span><a href="http://p.sf.net/sfu/learnnow-d2d">http://p.sf.net/sfu/learnnow-d2d</a></span></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-users mailing list</span><br><span><a href="mailto:Snort-users@...4137...orge.net">Snort-users@lists.sourceforge.net</a></span><br><span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br><span>Snort-users list archive:</span><br><span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div></blockquote></body></html>