<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On Mar 12, 2013, at 11:47 AM, waldo kitty <<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>> wrote:</div><blockquote type="cite">On 3/11/2013 21:29, Jim Turner wrote:<br><blockquote type="cite">I have found that if I # all of the site specific rules, that I can commence<br>packet processing.<br>I can also enable rules one at a time, and as long as I don't enable the wrong<br>rules, I am able to start as well.<br>Is the problem with the rules that I downloaded after installing? I am running<br>2.9.4.1, but since I downloaded the free rules, they appear to be a month old.<br>Would I get past my problem if I subscribe and get the latest rule set?<br></blockquote><br>the problem is your classification file... it does not contain the <br>classification used in the rules that are causing snort to fall over...<br><br>what is the classification of the rule (18) in app-detect.rules??<br><br>does this classification exist in your classification.conf file??<br><br><br>NOTE1: i do not know if the (18) indicates line 18 in the file OR<br>        if it indicates the 18th rule (enabled or disabled) OR<br>        if it indicates the 18th enabled rule...<br><br>NOTE2: in my app-detect.rules file, line 18 is the first one that is enabled.<br>        the classification on that rule is web-application-attack.<br>        web-application-attack is specifically listed in the classification file<br>          under the heading #NEW CLASSIFICATIONS<br>        the SID for that rule is 25358 revision 1<br>        that's 1:25358 in GID:SID format or 1:25358:1 in GID:SID:REV format.<br><br>it sounds like your classification file is old and not updated...<br></blockquote></div><br><div><br></div><div><br></div><div>Here's the problem with your configuration Jim:</div><div><br></div><div><div># Reputation preprocessor. For more information see README.reputation</div><div><b>preprocessor reputation: \</b></div><div><b>   memcap 500, \</b></div><div><b>   priority whitelist, \</b></div><div><b>   nested_ip inner, \</b></div><div><b>   # whitelist $WHITE_LIST_PATH\white_list.rules,</b></div><div><b>   # blacklist $BLACK_LIST_PATH\black_list.rules</b></div><div><br></div><div>###################################################</div><div># Step #6: Configure output plugins</div><div># For more information, see Snort Manual, Configuring Snort - Output Modules</div><div>###################################################</div><div><br></div><div># unified2</div><div># Recommended for most installs</div><div># output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types</div><div><br></div><div># Additional configuration for specific types of installs</div><div># output alert_unified2: filename snort.alert, limit 128, nostamp</div><div># output log_unified2: filename snort.log, limit 128, nostamp</div><div><br></div><div># syslog</div><div># output alert_syslog: LOG_AUTH LOG_ALERT</div><div><br></div><div># pcap</div><div># output log_tcpdump: tcpdump.log</div><div><br></div><div># metadata reference data.  do not modify these lines</div><div>include classification.config</div><div>include reference.config</div></div><div><br></div><div><br></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; ">--</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; "><b>Joel Esler</b></span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Senior Research Engineer, VRT</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">OpenSource Community Manager</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Sourcefire</span></div><div><br></div></body></html>