Ok I have tried and nothing on loopback :( I am sure this is working 
because other logging formats work so just not syslog. I have attached 
my recent barnyard2.conf file and I think I already posted what it is 
running as.<br><br>I ran test like this with it configured as output
 alert_syslog_full: sensor_name SENSORNAME, server 127.0.0.1, protocol 
udp, port 514, operation_mode default and so on as shown below:<br><br>1) test logging<br>snort -r /etc/snort/pcaps/kelihos.pcap -c /etc/snort/snort.conf -A console<br>-- OMMITED ----<br>OMMITED
 ET TROJAN Win32/Kelihos.F Checkin 7 [**] [Classification: A Network 
Trojan was detected] [Priority: 1] {TCP} OMMITED:1031 -> OMMITED:80<br>OMMITED 
 [**] [1:2012707:2] ET CURRENT_EVENTS Suspicious double HTTP Header 
possible botnet CnC [**] [Classification: A Network Trojan was detected]
 [Priority: 1] {TCP} OMMITED:80 -> OMMITED:1031<br>2) Set tcpdump<br> tcpdump -vvv -i lo -A -s 1524 -n 'port 514'<br>3) Ran again:<br>snort -r /etc/snort/pcaps/kelihos.pcap -c /etc/snort/snort.conf<br>4) confirmed it logged to mysql database.<br>
5) I have left it all running for a while with "normal" alerts being generated off passive interface and it logs to database fine but never sends syslog. I have confirmed this issue on 2 different sensors I want this to run on.<br>
<br>1) Snort listening to passive interface. However; in tests I am using PCAPs of malware activity to generate alerts.<br>2) Snort writes to unified2<br>3)
 Barnyard 2 is picking up unified to log and writing to a remote 
database so I can view it there. I have been using it this way for years
 with no issue.<br>4) It now has the following line in but it doesn't work. Here is what I have tried:<br>output alert_syslog_full: sensor_name SENSORNAME, server 127.0.0.1, protocol udp, port 514, operation_mode default<br>
output alert_syslog_full: sensor_name SENSORNAME, server 127.0.0.1, protocol udp, port 514, operation_mode complete<br>output alert_syslog_full: sensor_name SENSORNAME, server 127.0.0.1, protocol udp, port 514, LOG_LOCAL1, operation_mode default<br>
output alert_syslog_full: sensor_name SENSORNAME, server 127.0.0.1, protocol udp, port 514, LOG_LOCAL1, operation_mode complete<br>output alert_syslog_full: sensor_name SENSORNAME, server REAL_SERVER, protocol udp, port 514, operation_mode default<br>
output alert_syslog_full: sensor_name SENSORNAME, server REAL_SERVER, protocol udp, port 514, operation_mode complete<br>output alert_syslog_full: sensor_name SENSORNAME, server REAL_SERVER, protocol udp, port 514, LOG_LOCAL1, operation_mode default<br>
output
 alert_syslog_full: sensor_name SENSORNAME, server REAL_SERVER, protocol
 udp, port 514, LOG_LOCAL1, operation_mode complete<br>5) Routes are 
fine from these servers and I can ping, connect other ports on syslog 
server etc. Syslog server known to be working as it is taking in 
firewall logs and other things using different methods.<br>6) I have 
following syslog package installed on client system which is currently 
running Fedora 15 although this will be getting changed soon.<br> # rpm --query rsyslog<br>rsyslog-5.8.7-1.fc15.i686<br># yum list *syslog*<br>Installed Packages (I then install syslog-ng in case)<br>rsyslog.i686                               5.8.7-1.fc15                 @updates<br>
syslog-ng.i686                             3.2.5-2.fc15                 @updates<br>Available Packages<br>erlang-erlsyslog.i686                      0.1-6.fc15                   fedora<br>perl-Unix-Syslog.i686                      1.1-7.fc15                   fedora<br>
rsyslog-gnutls.i686                        5.8.7-1.fc15                 updates<br>rsyslog-gssapi.i686                        5.8.7-1.fc15                 updates<br>rsyslog-libdbi.i686                        5.8.7-1.fc15                 updates<br>
rsyslog-mysql.i686                         5.8.7-1.fc15                 updates<br>rsyslog-pgsql.i686                         5.8.7-1.fc15                 updates<br>rsyslog-relp.i686                          5.8.7-1.fc15                 updates<br>
rsyslog-snmp.i686                          5.8.7-1.fc15                 updates<br>rsyslog-udpspoof.i686                      5.8.7-1.fc15                 updates<br>sblim-cmpi-syslog.i686                     0.8.0-2.fc15                 fedora<br>
sblim-cmpi-syslog-test.i686                0.8.0-2.fc15                 fedora<br>syslog-ng.i686                             3.2.5-2.fc15                 updates<br>syslog-ng-devel.i686                       3.2.5-2.fc15                 updates<br>
syslog-ng-libdbi.i686                      3.2.5-2.fc15                 updates<br>7) I have completely reinstalled everything (Snort, barnyard etc). Barnyard is configured with ./configure --with-mysql.<br><br><br>So is there anything else I should be looking for?<br>
Thanks,<br>Kevin<br><br><div class="gmail_quote">On 19 March 2013 17:48, beenph <span dir="ltr"><<a href="mailto:beenph@...11827..." target="_blank">beenph@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Mon, Mar 18, 2013 at 8:20 AM, Kevin Ross <<a href="mailto:kevross33@...14012...">kevross33@...14012...</a>> wrote:<br>
> Hi,<br>
><br>
> I usually use unified 2 to barnyard which sends logs into mysql. Now I have<br>
> the need to send Syslog into another log collector. I haven't used syslog<br>
> for snort output in a while but I have never had these issues before.<br>
><br>
> I have configured the syslog output in multiple ways and even though alerts<br>
> are processed and sent into mysql database it never generates syslog alerts.<br>
> I have captured traffic with tcpdump from the box and nothing is sent. Does<br>
> anyone have any ideas what is needed? I just need it to send generic syslog<br>
> (and I have checked the usual, network connectivity the collector is there,<br>
> firewalls not in way etc). Strange thing is when run in continuous mode it<br>
> says it is using syslog and has the IP, port, mode etc.<br>
><br>
> Thanks for any help,<br>
> Kevin<br>
><br>
> output alert_syslog_full: sensor_name NAME, server 10.X.X.X.X, protocol udp,<br>
> port 514, operation_mode default (tried complete and other options too)<br>
><br>
> # snort -V<br>
><br>
>    ,,_     -*> Snort! <*-<br>
>   o"  )~   Version 2.9.4.1 GRE (Build 69)<br>
>    ''''    By Martin Roesch & The Snort Team:<br>
> <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a><br>
>            Copyright (C) 1998-2013 Sourcefire, Inc., et al.<br>
>            Using libpcap version 1.1.1<br>
>            Using PCRE version: 8.12 2011-01-15<br>
>            Using ZLIB version: 1.2.5<br>
><br>
> # barnyard2 -V<br>
><br>
>   ______   -*> Barnyard2 <*-<br>
>  / ,,_  \  Version 2.1.12 (Build 321)<br>
>  |o"  )~|  By Ian Firns (SecurixLive): <a href="http://www.securixlive.com/" target="_blank">http://www.securixlive.com/</a><br>
>  + '''' +  (C) Copyright 2008-2013 Ian Firns <<a href="mailto:firnsy@...14568...">firnsy@...14568...</a>><br>
><br>
> # ps aux | grep barn<br>
> root     18725 77.4  3.6  91792 73064 ?        Rs   12:11   2:29<br>
> /usr/local/bin barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f<br>
> snort.u2 -w /var/log/snort/bylog.waldo -D<br>
><br>
> # ps aux | grep snort<br>
> snort    18698 73.3 16.1 745592 325160 ?       Rsl  12:11   2:53<br>
> /usr/local/bin snort -D -i em1 -u snort -g snort -c /etc/snort/snort.conf -l<br>
> /var/log/snort/<br>
><br>
><br>
<br>
<br>
</div></div>Are you sure your listening to the good interface and that your<br>
routing table is fine for your destination syslog system?<br>
<br>
#From conf for testing<br>
output alert_syslog_full: sensor_name NAME, server 127.0.0.20,<br>
<div class="im">protocol udp, port 514, operation_mode default<br>
</div>output log_syslog_full: sensor_name NAME, server 127.0.0.20, protocol<br>
udp, port 514, operation_mode complete<br>
<br>
<br>
<br>
root@...15897...:~# tcpdump -vvv -i lo -A -s 1524 -n 'port 514'<br>
tcpdump: listening on lo, link-type EN10MB (Ethernet), capture size 1524 bytes<br>
13:16:38.168132 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto<br>
UDP (17), length 124)<br>
    127.0.0.1.59741 > 127.0.0.20.514: [bad udp cksum 0xfe8e -><br>
0x4a72!] [|syslog]<br>
E..|..@...843...@.<\.........]...h..[1:2008017:3] Snort Alert [1:1:3]<br>
[Priority: 1]: {ICMP} <a href="http://1.1.1.1:0" target="_blank">1.1.1.1:0</a> -> <a href="http://1.1.1.1:0" target="_blank">1.1.1.1:0</a>.<br>
13:16:38.169031 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto<br>
UDP (17), length 370)<br>
    127.0.0.1.51788 > 127.0.0.20.514: [bad udp cksum 0xff84 -><br>
0x9663!] [|syslog]<br>
E..r..@...843...@.;f.........L...^..| [SNORTIDS[LOG]: [NAME] ] || 2013-03-14<br>
12:41:48.607+-04 1 [1:1:3] Snort Alert [1:1:3] || [Unknown<br>
Classification] || 1 1.1.1 1.1.1.1 5 0 0 39 24721 0 0 12495 0 || 0 0<br>
15293 29288 0 || 60<br>
00E020110A95001109CF555608004500002760910000400130CF0AC800346F6F6F0B00003BBD7268000048656C6C6F2C576F726C6400000000000000<br>
||<br>
 |.<br>
<br>
<br>
Seems to work as expected here.<br>
Can you try with loopback first?<br>
<br>
Cheers,<br>
-elz<br>
</blockquote></div><br>