<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">That's very strange.  Are you sure you were loading rules?  There should be nothing preventing you from loading the VRT ruleset.<div><br></div><div><br><div><div>On Mar 11, 2013, at 1:52 PM, Kevin Thomas <<a href="mailto:kpt2078@...391...1827...">kpt2078@...11827...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr">All, I think this problem is resolved now.  I deleted all of my snort rules under /etc/snort/rules and then I changed my source from "Sourcefire VRT for registered users" to "<a href="http://EmergingThreats.net">EmergingThreats.net</a> Community rules" and then pulled the updates for the new rules, selected the rules I wanted to use, and then stopped and restarted snort. Not long afterward, it began writing to the /var/log/snort/alert file and guardian could finally act on the alerts.  Next on the agenda is to find out why the guardian process keeps dieing and restarting automatically every 20 minutes or so, releasing all the IP blocks when it restarts.  Thanks to everyone who offered insight/suggestions.<br>
<br>Kevin<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Mar 11, 2013 at 11:53 AM, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...14992.....</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 3/8/2013 17:44, Kevin Thomas wrote:<br>
> This is the contents of the /etc/snort directory.  The files owned by root:root were created by me.<br>
><br>
> -rw-r--r-- 1 root   root      152 2013-03-06 18:13 readme.txt<br>
> drwxr-xr-x 2 nobody nobody  12288 2013-03-06 23:37 rules<br>
> -rw-r--r-- 1 nobody nobody  19506 2013-03-06 23:57 snort.conf<br>
> -rw-r--r-- 1 nobody nobody  19506 2013-02-16 11:03 snort.conf.orig<br>
> -rwxr-xr-x 1 root   root       73 2013-03-06 18:38 snort-test.sh<br>
> -rwxr-xr-x 1 root   root       29 2013-03-07 00:01 start.sh<br>
> -rwxr-xr-x 1 root   root       28 2013-03-07 00:02 stop.sh<br>
> -rw-r--r-- 1 nobody nobody 160606 2013-02-16 11:03 unicode.map<br>
> -rw-r--r-- 1 root   root      104 2013-03-07 00:03 vars<br>
<br>
</div>what are the contents of this vars file? what creates it? when?<br>
<div class="im"><br>
> # taken from /etc/snort vars<br>
> #ipvar HOME_NET any<br>
><br>
> # Set up the external network addresses. Leave as "any" in most situations<br>
> ipvar EXTERNAL_NET any<br>
<br>
</div>i ask about that vars file because it is referenced above... you did not post<br>
your entire snort.conf so i can't see if there's an "include /etc/snort/vars"<br>
line in it as is indicated there should be...<br>
<br>
i'm thinking that file may need to be nobody:nobody because snort is likely<br>
running as nobody... that's the way we do it anyway ;)<br>
<br>
------------------------------------------------------------------------------<br>
Symantec Endpoint Protection 12 positioned as A LEADER in The Forrester<br>
Wave(TM): Endpoint Security, Q1 2013 and "remains a good choice" in the<br>
endpoint security space. For insight on selecting the right partner to<br>
tackle endpoint security challenges, access the full report.<br>
<a href="http://p.sf.net/sfu/symantec-dev2dev" target="_blank">http://p.sf.net/sfu/symantec-dev2dev</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br></div>
------------------------------------------------------------------------------<br>Symantec Endpoint Protection 12 positioned as A LEADER in The Forrester  <br>Wave(TM): Endpoint Security, Q1 2013 and "remains a good choice" in the  <br>endpoint security space. For insight on selecting the right partner to <br>tackle endpoint security challenges, access the full report. <br><a href="http://p.sf.net/sfu/symantec-dev2dev_______________________________________________">http://p.sf.net/sfu/symantec-dev2dev_______________________________________________</a><br>Snort-users mailing list<br>Snort-users@lists.sourceforge.net<br>Go to this URL to change user options or unsubscribe:<br>https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users list archive:<br>http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users<br><br>Please visit http://blog.snort.org to stay current on all the latest Snort news!</blockquote></div><br></div></body></html>