<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Nevermind…..I didn’t have enough rows optioned into the query…<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Josh Bitto [mailto:jbitto@...16055...] <br><b>Sent:</b> Thursday, February 07, 2013 4:15 PM<br><b>To:</b> Y M; beenph<br><b>Cc:</b> snort-users@...8192...sourceforge.net<br><b>Subject:</b> Re: [Snort-users] Snort and Barnyard2<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I just noticed something I ran the query and the data for timesamp has about 1000 rows…..but there’s only one day on it…I know there have been several days of reporting. Any thoughts as to why it’s only limited to that one day?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I’ve set my log file size to 10000 mb so I don’t believe that is the issue.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Y M [<a href="mailto:snort@...15979...">mailto:snort@...15979...</a>] <br><b>Sent:</b> Wednesday, February 06, 2013 8:37 PM<br><b>To:</b> Josh Bitto; beenph<br><b>Cc:</b> <a href="mailto:snort-users@...2652...e.net">snort-users@lists.sourceforge.net</a>; <a href="mailto:barnyard2-users@...14071...">barnyard2-users@...14071...</a><br><b>Subject:</b> RE: [Snort-users] Snort and Barnyard2<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>Yes it can be done. Try the following query:<br> <br><br> SELECT <br>               signature.sig_name AS 'Signature Name', <br>               event.timestamp AS 'Timestamp',<br>               INET_NTOA(iphdr.ip_src) AS 'Source IP',<br>               INET_NTOA(iphdr.ip_dst) AS 'Destination IP',<br>               sig_class.sig_class_name AS 'Signature Class'<br>FROM <br>              signature LEFT JOIN event ON (signature.sig_id=event.signature)<br>              LEFT JOIN sig_class ON (signature.sig_class_id=sig_class.sig_class_id)<br>              LEFT JOIN iphdr ON (event.cid=iphdr.cid)<br>WHERE <br>              signature.sig_sid=<xxx>;<br> <br> <br>In this case, you would replace the "<xxx>" with your own signature sid that you are looking for. You can get rid of the WHERE clause to perform the same behavior on all the data, but that would be an overkill to your db server depending on the amount of data you have. <br> <br>Perhaps not the most efficient query, but it will return data and columns in the following format:<br> <br>Signature Name, Timestamp, Source IP, Destination IP, Signature Class<br> <br>Please note that these are fancy formatting (the "AS 'Your favorite column name'" part in the query) of the column names for easier reading. Beenph, jump in if I am doing something wrong in my query here :)<br> <br>YM<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>> From: <a href="mailto:jbitto@...16055...">jbitto@...16086...5...</a><br>> To: <a href="mailto:beenph@...11827...">beenph@...14459.....</a>; <a href="mailto:snort@...15979...">snort@...15979...</a><br>> CC: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...sourceforge.net</a>; <a href="mailto:barnyard2-users@...14071...">barnyard2-users@...14071...</a><br>> Date: Wed, 6 Feb 2013 13:21:41 -0800<br>> Subject: RE: [Snort-users] Snort and Barnyard2<br>> <br>> Ok so if I wanted to run a query where I wanted the src and dst IP plus view event and signature tables as well....Can that be done?<br>> <br>> Also....would running these query's have the data line up with the actual date and times that the event actually occurred?<br>> <br>> <br>> <br>> -----Original Message-----<br>> From: beenph [<a href="mailto:beenph@...843.....11827...">mailto:beenph@...11827...</a>] <br>> Sent: Wednesday, February 06, 2013 12:31 PM<br>> To: Y M<br>> Cc: Josh Bitto; <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>; <a href="mailto:barnyard2-users@...14071...">barnyard2-users@...15342.....</a><br>> Subject: Re: [Snort-users] Snort and Barnyard2<br>> <br>> On Wed, Feb 6, 2013 at 2:43 PM, Y M <<a href="mailto:snort@...16052...9...">snort@...15979...</a>> wrote:<br>> > Sorry for not detailing my reply. For example try querying snort <br>> > database<br>> > with:<br>> ><br>> > SELECT ip_src, INET_NTOA(ip_src)<br>> > FROM acid_event;<br>> <br>> IP src/dst data in the default schema is not stored in the acid_event table but the iphdr table.<br>> <br>> So a query could look like this:<br>> <br>> Assuming mysql:<br>> <br>> SELECT INET_NTOA(ip_src),INET_NTOA(ip_dst) FROM iphdr WHERE sid="XXX"<br>> AND cid="XXX";<br>> <br>> ><br>> > From: Josh Bitto<br>> > Sent: 2/6/2013 10:05 PM<br>> > To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>> > Subject: [Snort-users] Snort and Barnyard2<br>> ><br>> > Has anyone else had this issue come up where when you export the data <br>> > from your database the IP's listed do not correspond with the actual <br>> > IP addresses that have been captured when an event happens?<br>> ><br>> ><br>> <br>> Now, i am not sure i understand what Josh Bitto mean by "the store IP are not the same as the captured IP".<br>> barnyard2 will store whats found in the unified2 file, did you validate the content of your unified2 file using u2spewfoo or u2boat to export contained packets to pcap file and compare that information?<br>> <br>> -elz<o:p></o:p></span></p></div></div></div></body></html>