<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Let's see one of the rules, and what sdo your HOME_NET and EXTERNAL_NET look like?<div><br></div><div>James</div><div><br><div><div><div>On Apr 22, 2013, at 10:40 PM, Ashraf Ali <<a href="mailto:ashrafali.ibs@...11827...">ashrafali.ibs@...13610...7...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr"><div><div>yes, if i use the command (snort -c /usr/local/snort/snort.conf -i eth0 -A)  and can see lots of traffic on the console but nothing is getting dump in the log file, it is still 0 Bytes.<br><br></div>
i did a R&D , by creating a file called local.rules in the same rules folder and added a signature (alert tcp any any -> any any(msg:"Tcp traffic found" sid:1000001);<br></div><div>in the snort.conf file i put a # before include statement of snort.rules line and added local.rules <br>
</div><div>later restarted both snort and barnyard2 Deamons , Guess what i can see log file filling up, and in GUI i can see the alerts.<br><br></div><div>There seems to be some problem with the snort.rules file which PP has created.<br>
<br></div><div>Regards,<br></div><div>Ashraf<br></div><div>Security System Engineer.<br><br></div><div><br> </div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Apr 22, 2013 at 9:37 PM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div>
<div>
<div style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">If you run snort with -A console or -A cmg, do you see any alerts on the console?<br>
<br>
Also run tcpdump against the interface you are listening from, simply<br>
<br>
tcpdump -i ethX -v<br>
<br>
Do you see any traffic? Replace ethX with your interface.</div>
</div>
<div dir="ltr">
<hr>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">From:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:ashrafali.ibs@...11827..." target="_blank">Ashraf Ali</a></span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Sent:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">4/22/2013 3:37 PM</span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">To:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif"><a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a></span><br>
<span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif;FONT-WEIGHT:bold">Subject:
</span><span style="FONT-SIZE:11pt;FONT-FAMILY:Calibri,sans-serif">[Snort-users] Snort 2.9.4.5 rules using pp</span><br>
<br>
</div><div><div class="h5">
<div>
<div dir="ltr">
<div>
<div>
<div>
<div>
<div>Hi All,<br>
<br>
</div>
recently i have deployed snort in ubuntu 12.04 using Autosnort , during the installation PP asked for Oinkcode ,as i am a registered user so i have provided the same.<br>
</div>
After completion of the installation, i have seen that snort and barnyard2 services are running in Deamon mode, and in /var/log/snort folder a file with name snort.u2.1366**** is also created but empty(0 bytes).<br>
<br>
-rw-r--r--  1 snort snort    2056 Apr 22 17:54 barnyard2.waldo<br>
<b>-rw-------  1 snort snort         0 Apr 22 17:54 snort.u2.136662*****</b><br>
<br>
</div>
there is a single rules file called snort.rules in /usr/local/snort/rules folder which has all the downloaded snort rules, and same is included in the snort.conf file. 
<br>
</div>
Even i have run the snort in test mode using -T , it does not shows up any problem, its working fine but not generating any logs.<br>
<br>
</div>
<div>I have formated the server , and re-installed every thing manually this time. still the same problem. file is getting created but no logs.<br>
<br>
</div>
<div>pls Advice.<br>
<br>
</div>
<div>Ashraf<br>
</div>
<div>Security System Egnineer<br>
</div>
<div><br>
 <br>
</div>
</div>
</div>
</div></div></div>

</blockquote></div><br></div>
------------------------------------------------------------------------------<br>Try New Relic Now & We'll Send You this Cool Shirt<br>New Relic is the only SaaS-based application performance monitoring service <br>that delivers powerful full stack analytics. Optimize and monitor your<br>browser, app, & servers with just a few lines of code. Try New Relic<br>and get this awesome Nerd Life shirt! <a href="http://p.sf.net/sfu/newrelic_d2d_apr_______________________________________________">http://p.sf.net/sfu/newrelic_d2d_apr_______________________________________________</a><br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br>https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users list archive:<br>http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users<br><br>Please visit http://blog.snort.org to stay current on all the latest Snort news!</blockquote></div><br></div></div></body></html>