<div dir="ltr">I'm glad it's working for you. You can leave -A flag out (whether you are snorting in IDS or IPS) and use the "-b & -d" flags as you want to. I will also recommend reading the Snort Manual; it has great stuff and lots of information in it.<div>
<br></div><div>For GUI, I will recommend you start with ACID-BASE then you can jump on to Snorby or Squert.<br><div><div><br></div><div>Happy New Year!</div></div></div></div><div class="gmail_extra"><br clear="all"><div>
Ayo</div>
<br><br><div class="gmail_quote">On Mon, Dec 30, 2013 at 4:41 PM, James <span dir="ltr"><<a href="mailto:james@...16635..." target="_blank">james@...16635...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div><div>Sorry for not replying sooner - holidays have meant a delay in getting time to test it out. That has indeed fixed it. Stuff is now appearing in the database, thank you! So should I leave -A off all the time and put back -b and -d?<br>

<br></div>I'm not yet seeing alerts in the GUI, but I expect that's outside the scope of this mailing list, so I'll continue trying to fix that.<br><br></div>Many thanks again.<span class="HOEnZb"><font color="#888888"><br>
<br>James<br></font></span></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra">
<br><br><div class="gmail_quote">On 30 December 2013 14:09, Ayodele Okeowo <span dir="ltr"><<a href="mailto:aymacro@...11827..." target="_blank">aymacro@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">Does that mean it worked?</div><div class="gmail_extra"><br clear="all"><div>Ayo</div>
<br><br><div class="gmail_quote"><div><div>On Mon, Dec 23, 2013 at 10:20 AM, James Hodge <span dir="ltr"><<a href="mailto:james@...16645..." target="_blank">james@...16645...</a>></span> wrote:<br></div></div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div><div><div><div><div><div><div>Hi,<br><br></div>Thanks for your reply. Yes, at least I think so, I'm running snort like this:<br>/usr/sbin/snort -A fast -b -d -D -i eth1 -u snort -g snort -c /etc/snort/snort.conf -l /usr/local/snort/var/log/eth1<br>



<br></div>Starting barnyard without daemon mode shows this only:<br><br>root@...16640...:/var/www/aanval/apps# barnyard2 -c /etc/snort/barnyard.conf -d /usr/local/snort/var/log/eth1 -w /usr/local/snort/var/log/eth1/barnyard2.waldo -l /usr/local/snort/var/log/eth1 -a /usr/local/snort/var/log/eth1/archive -f snort.log -X /var/lock/barnyard2-eth1.pid<br>



Running in Continuous mode<br><br>        --== Initializing Barnyard2 ==--<br>Initializing Input Plugins!<br>Initializing Output Plugins!<br>Parsing config file "/etc/snort/barnyard.conf"<br><br><br>+[ Signature Suppress list ]+<br>



----------------------------<br>+[No entry in Signature Suppress List]+<br>----------------------------<br>+[ Signature Suppress list ]+<br><br><br>Barnyard2 spooler: Event cache size set to [2048]<br>Log directory = /usr/local/snort/var/log/eth1<br>



INFO database: Defaulting Reconnect/Transaction Error limit to 10<br>INFO database: Defaulting Reconnect sleep time to 5 second<br><br>[SignatureReferencePullDataStore()]: No Reference found in database ...<br>database: compiled support for (mysql)<br>



database: configured to use mysql<br>database: schema version = 107<br>database:           host = localhost<br>database:           user = snort_user<br>database:  database name = snortdb<br>database:    sensor name = localhost:eth1<br>



database:      sensor id = 2<br>database:     sensor cid = 1<br>database:  data encoding = hex<br>database:   detail level = full<br>database:     ignore_bpf = no<br>database: using the "log" facility<br><br>        --== Initialization Complete ==--<br>



<br>  ______   -*> Barnyard2 <*-<br> / ,,_  \  Version 2.1.13 (Build 327)<br> |o"  )~|  By Ian Firns (SecurixLive): <a href="http://www.securixlive.com/" target="_blank">http://www.securixlive.com/</a><br> + '''' +  (C) Copyright 2008-2013 Ian Firns <<a href="mailto:firnsy@...14568..." target="_blank">firnsy@...14511...568...</a>><br>



<br>Using waldo file '/usr/local/snort/var/log/eth1/barnyard2.waldo':<br>    spool directory = /usr/local/snort/var/log/eth1<br>    spool filebase  = snort.log<br>    time_stamp      = 1387663189<br>    record_idx      = 0<br>



Opened spool file '/usr/local/snort/var/log/eth1/snort.log.1387663189'<br>Closing spool file '/usr/local/snort/var/log/eth1/snort.log.1387663189'. Read 0 records<br>Opened spool file '/usr/local/snort/var/log/eth1/snort.log.1387811302'<br>



Waiting for new data<br><br></div>If I then press ctrl-c it says it's seen 0 for every field.<br><br>If it helps, this is the dir in question:<br><br></div></div></div></div>root@...16640...:/var/www/aanval/apps# ls -al /usr/local/snort/var/log/eth1/<div>

<div>
<br>
total 98184<br>drwxr-xr-x 4 snort snort      4096 Dec 23 15:11 .<br>drwxr-xr-x 4 snort snort      4096 Dec 21 22:27 ..<br>-rw-r--r-- 1 snort snort 100383823 Dec 23 15:13 alert<br>drwxr-xr-x 2 snort snort      4096 Dec 23 15:11 archive<br>



-rw------- 1 snort snort      2056 Dec 23 15:11 barnyard2.waldo<br>-rw------- 1 snort snort    128173 Dec 23 15:13 snort.log.1387811302<br><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div>
<div>
On 22 December 2013 23:29, Ayodele Okeowo <span dir="ltr"><<a href="mailto:aymacro@...11827..." target="_blank">aymacro@...11827...</a>></span> wrote:<br>
</div></div><div><div><div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">When you ran snort did you use the ' console -A' switch? Also did you test tour barnyard without daemon?</p>




<div class="gmail_quote"><div><div>On Dec 22, 2013 6:04 PM, "James" <<a href="mailto:snort@...16635..." target="_blank">snort@...16012...635...</a>> wrote:<br type="attribution"></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div><div>
<div dir="ltr"><div><div>Hi all,<br><br></div>I've followed this guide: <a href="http://wiki.aanval.com/wiki/Community:Snort_2.9.2.3_Installation_Guide_for_Ubuntu_12.04,_with_Barnyard2,_Pulledpork,_and_Aanval" target="_blank">http://wiki.aanval.com/wiki/Community:Snort_2.9.2.3_Installation_Guide_for_Ubuntu_12.04,_with_Barnyard2,_Pulledpork,_and_Aanval</a><br>





</div>but using the most current Snort + Barnyard and everything seems to have installed and start-up correctly, but I'm not seeing anything get logged into the MySQL database. There were a few mistakes in the guide, which I've managed to fix with a bit of Googling, but I can't seem to solve this. I realise you're probably going to need more information to be able to help, but don't know enough yet to guess what that might be. Can anyone help please? The alternative is I wipe it all and start again in the hope I just missed something stupid the first time, but hopefully someone could help me avoid that?<br>





<br>Thanks<br>James<br></div>
<br></div></div><div>------------------------------------------------------------------------------<br>
Rapidly troubleshoot problems before they affect your business. Most IT<br>
organizations don't have a clear picture of how application performance<br>
affects their revenue. With AppDynamics, you get 100% visibility into your<br>
Java,.NET, & PHP application. Start your 15-day FREE TRIAL of AppDynamics Pro!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>





Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></div></blockquote></div>
</blockquote></div></div></div></div></div><br></div></div><div><div>
<br>------------------------------------------------------------------------------<br>
Rapidly troubleshoot problems before they affect your business. Most IT<br>
organizations don't have a clear picture of how application performance<br>
affects their revenue. With AppDynamics, you get 100% visibility into your<br>
Java,.NET, & PHP application. Start your 15-day FREE TRIAL of AppDynamics Pro!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>



Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></div></div></blockquote></div><br></div>
</blockquote></div><br></div>
</div></div><br>------------------------------------------------------------------------------<br>
Rapidly troubleshoot problems before they affect your business. Most IT<br>
organizations don't have a clear picture of how application performance<br>
affects their revenue. With AppDynamics, you get 100% visibility into your<br>
Java,.NET, & PHP application. Start your 15-day FREE TRIAL of AppDynamics Pro!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>