<div dir="ltr"><div><div>hi all <br></div>can any one tell how to trim the snort alert output tht is timestamp parameter trimming. i just want the timestamp in the format date ,time in hr min sec.. i do not require milisecond field in time stamp parameter<br>
<br></div>aditya<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Feb 11, 2014 at 4:24 PM,  <span dir="ltr"><<a href="mailto:snort-users-request@lists.sourceforge.net" target="_blank">snort-users-request@lists.sourceforge.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Send Snort-users mailing list submissions to<br>
        <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:snort-users-request@lists.sourceforge.net">snort-users-request@lists.sourceforge.net</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:snort-users-owner@lists.sourceforge.net">snort-users-owner@lists.sourceforge.net</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Snort-users digest..."<br>
<br>
<br>
When responding, please don't respond with the entire Digest.  Please trim your response.<br>
<br>
Today's Topics:<br>
<br>
   1. Snort 2.9.6.0 rpm for RHEL6.x (Feroz Basir)<br>
   2. Re: Snort 2.9.6.0 rpm for RHEL6.x (Jeremy Hoel)<br>
   3. Re: Snort 2.9.6.0 rpm for RHEL6.x (waldo kitty)<br>
   4. Events vs. Alerts (Thomas Hyslip)<br>
   5. Snort vs. Barnyard2 performance logging to a database<br>
      (Dubrawsky, Ido)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Tue, 11 Feb 2014 02:59:37 +0800<br>
From: Feroz Basir <<a href="mailto:feroz.basir@...11827...">feroz.basir@...11827...</a>><br>
Subject: [Snort-users] Snort 2.9.6.0 rpm for RHEL6.x<br>
To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...sourceforge.net</a><br>
Message-ID: <<a href="mailto:85C4F71B-FF24-4D46-96EB-83C0D160633C@...391...1827...">85C4F71B-FF24-4D46-96EB-83C0D160633C@...11827...</a>><br>
Content-Type: text/plain;       charset=us-ascii<br>
<br>
Hi All,<br>
<br>
Where can I download snort rpm for rhel6.x? Website only for centos and fedora.<br>
<br>
Thanks.<br>
<br>
<br>
Regards,<br>
Feroz Basir<br>
<br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Mon, 10 Feb 2014 19:04:25 +0000<br>
From: Jeremy Hoel <<a href="mailto:jthoel@...11827...">jthoel@...13704......</a>><br>
Subject: Re: [Snort-users] Snort 2.9.6.0 rpm for RHEL6.x<br>
To: Feroz Basir <<a href="mailto:feroz.basir@...11827...">feroz.basir@...11827...</a>><br>
Cc: "<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>"<br>
        <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
Message-ID:<br>
        <CAH_p-VPV50Ear5tKZO96CCXLf9bv=<a href="mailto:F1oR73Q0AnHy3523FA7kg@...11828...">F1oR73Q0AnHy3523FA7kg@...11828...</a>><br>
Content-Type: text/plain; charset=ISO-8859-1<br>
<br>
 CentOS is basically RedHat without the RedHat logos and it should be<br>
binary compatable (minus stupid scripts looking for the words RedHat<br>
somewhere).   Have you tried using the CentOS build?  We run CentOS,<br>
but we build ours from source.<br>
<br>
On Mon, Feb 10, 2014 at 6:59 PM, Feroz Basir <<a href="mailto:feroz.basir@...11827...">feroz.basir@...11827...</a>> wrote:<br>
> Hi All,<br>
><br>
> Where can I download snort rpm for rhel6.x? Website only for centos and fedora.<br>
><br>
> Thanks.<br>
><br>
><br>
> Regards,<br>
> Feroz Basir<br>
> ------------------------------------------------------------------------------<br>
> Androi apps run on BlackBerry 10<br>
> Introducing the new BlackBerry 10.2.1 Runtime for Android apps.<br>
> Now with support for Jelly Bean, Bluetooth, Mapview and more.<br>
> Get your Android app in front of a whole new audience.  Start now.<br>
> <a href="http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 3<br>
Date: Mon, 10 Feb 2014 18:45:07 -0500<br>
From: waldo kitty <<a href="mailto:wkitty42@...14940...">wkitty42@...391...4940...</a>><br>
Subject: Re: [Snort-users] Snort 2.9.6.0 rpm for RHEL6.x<br>
To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...sourceforge.net</a><br>
Message-ID: <<a href="mailto:52F96483.30406@...14940...">52F96483.30406@...14940...</a>><br>
Content-Type: text/plain; charset=UTF-8; format=flowed<br>
<br>
On 2/10/2014 1:59 PM, Feroz Basir wrote:<br>
> Where can I download snort rpm for rhel6.x? Website only for centos and<br>
> fedora.<br>
<br>
you are better off to build from the sources so you get the latest version...<br>
rpms are very likely to be out of date and their snort no longer supported due<br>
to EoL status... that means that you can't get rules for old versions, too...<br>
<br>
--<br>
NOTE: No off-list assistance is given without prior approval.<br>
       Please keep mailing list traffic on the list unless<br>
       private contact is specifically requested and granted.<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 4<br>
Date: Mon, 10 Feb 2014 19:32:41 -0500<br>
From: Thomas Hyslip <<a href="mailto:thomas.hyslip@...11827...">thomas.hyslip@...11827...</a>><br>
Subject: [Snort-users] Events vs. Alerts<br>
To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...sourceforge.net</a><br>
Message-ID:<br>
        <CALhgiWhJCCftw=<a href="mailto:RUz%2B9vy3W0gnZnA8UXB4gpsYNd1baeeueQug@...11828...">RUz+9vy3W0gnZnA8UXB4gpsYNd1baeeueQug@...14540...28...</a>><br>
Content-Type: text/plain; charset="iso-8859-1"<br>
<br>
not quite sure i understand the difference between an event and and alert.<br>
I have a threshold within a rule for 25 syn packets every second (ddos)<br>
egressing the network.<br>
<br>
I have tried different pcaps with tcpreplay to test the rule.  When i know<br>
there are more than 25 syn packets within a second, i see the alerts in<br>
barnyard2 and afterwards when i stop snort.  But, when I'm sure there are<br>
not 25 syns in one second, i get no alerts, but after stopping snort and<br>
barnyard, i see events were logged or filtered.<br>
<br>
so, I am little confused what Snort means be an event that is not an<br>
alert.  Also, FYI, I have no other rules or pre-processors running.  Here<br>
is the output from snort<br>
<br>
===============================================================================<br>
Action Stats:<br>
     Alerts:            0 (  0.000%)<br>
     Logged:            0 (  0.000%)<br>
     Passed:            0 (  0.000%)<br>
Limits:<br>
      Match:            0<br>
      Queue:            0<br>
        Log:            0<br>
      Event:          241<br>
      Alert:            0<br>
Verdicts:<br>
      Allow:       722528 (100.000%)<br>
      Block:            0 (  0.000%)<br>
    Replace:            0 (  0.000%)<br>
  Whitelist:            0 (  0.000%)<br>
  Blacklist:            0 (  0.000%)<br>
     Ignore:            0 (  0.000%)<br>
===============================================================================<br>
+-----------------------[filtered<br>
events]--------------------------------------<br>
| gen-id=1      sig-id=1000001    type=Threshold tracking=src count=25<br>
seconds=1   filtered=241<br>
<br>
Any idea what the 241 event and filtered could be?<br>
<br>
Thanks<br>
Tom<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
<br>
------------------------------<br>
<br>
Message: 5<br>
Date: Tue, 11 Feb 2014 10:38:07 +0000<br>
From: "Dubrawsky, Ido" <<a href="mailto:Ido.Dubrawsky@...16621...87...">Ido.Dubrawsky@...16687...</a>><br>
Subject: [Snort-users] Snort vs. Barnyard2 performance logging to a<br>
        database<br>
To: "<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>"<br>
        <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
Message-ID:<br>
        <<a href="mailto:68769062e01946249813eee22b925295@...391...6690...">68769062e01946249813eee22b925295@...16690...</a>><br>
<br>
Content-Type: text/plain; charset="us-ascii"<br>
<br>
Has anyone done any performance tests benchmarking whether its better for the Snort IDS process to insert alerts directly into a database (MySQL or PostGREsql) or whether performance is better if Snort writes the unified2 file and lets Barnyard2 insert alerts into a database?   A quick Google search hasnt easily revealed anything relevant at the moment.<br>

<br>
<br>
<br>
Thanks,<br>
<br>
Ido<br>
<br>
Description: cid:image008.png@...16688...<br>
<br>
<br>
<br>
Description: Description: <a href="http://marketing.itron.com/campaign/ribbon_logo_rgb_92h.jpg" target="_blank">http://marketing.itron.com/campaign/ribbon_logo_rgb_92h.jpg</a> <<a href="https://www.itron.com/" target="_blank">https://www.itron.com/</a>><br>

<br>
Ido Dubrawsky<br>
<br>
Sr. Principal Systems Engineer<br>
<br>
Security Engineering Team Lead<br>
<br>
<a href="mailto:Ido.Dubrawsky@...16687...">Ido.Dubrawsky@...16687...</a> <mailto:<a href="mailto:Ido.Dubrawsky@...16687...">Ido.Dubrawsky@...16012...687...</a>><br>
<br>
509-891-3452 (O)/301-928-0020(M)<br>
<br>
Description: Description: <a href="http://marketing.itron.com/campaign/social_media_icon_twitter29.jpg" target="_blank">http://marketing.itron.com/campaign/social_media_icon_twitter29.jpg</a> <<a href="http://twitter.com/#%21/itron" target="_blank">http://twitter.com/#!/itron</a>>   Description: Description: <a href="http://marketing.itron.com/campaign/social_media_icon_facebook29.jpg" target="_blank">http://marketing.itron.com/campaign/social_media_icon_facebook29.jpg</a> <<a href="http://www.facebook.com/ItronInc" target="_blank">http://www.facebook.com/ItronInc</a>>   Description: Description: <a href="http://marketing.itron.com/campaign/social_media_icon_linkedin29.jpg" target="_blank">http://marketing.itron.com/campaign/social_media_icon_linkedin29.jpg</a> <<a href="http://www.linkedin.com/company/7550?trk=null" target="_blank">http://www.linkedin.com/company/7550?trk=null</a>>   Description: Description: <a href="http://marketing.itron.com/campaign/social_media_icon_youtube29.jpg" target="_blank">http://marketing.itron.com/campaign/social_media_icon_youtube29.jpg</a> <<a href="http://www.youtube.com/itronsmartmedia" target="_blank">http://www.youtube.com/itronsmartmedia</a>><br>

<br>
P Please consider the impact to the environment and your responsibility before printing this e-mail.<br>
<br>
<br>
<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: not available<br>
Type: image/png<br>
Size: 124 bytes<br>
Desc: not available<br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: not available<br>
Type: image/jpeg<br>
Size: 4585 bytes<br>
Desc: not available<br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: not available<br>
Type: image/jpeg<br>
Size: 1675 bytes<br>
Desc: not available<br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: not available<br>
Type: image/jpeg<br>
Size: 1586 bytes<br>
Desc: not available<br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: not available<br>
Type: image/jpeg<br>
Size: 1696 bytes<br>
Desc: not available<br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: not available<br>
Type: image/jpeg<br>
Size: 1656 bytes<br>
Desc: not available<br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: PGP.sig<br>
Type: application/pgp-signature<br>
Size: 476 bytes<br>
Desc: not available<br>
<br>
------------------------------<br>
<br>
------------------------------------------------------------------------------<br>
Android apps run on BlackBerry 10<br>
Introducing the new BlackBerry 10.2.1 Runtime for Android apps.<br>
Now with support for Jelly Bean, Bluetooth, Mapview and more.<br>
Get your Android app in front of a whole new audience.  Start now.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk</a><br>
<br>
------------------------------<br>
<br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
<br>
<br>
End of Snort-users Digest, Vol 93, Issue 9<br>
******************************************<br>
</blockquote></div><br><br clear="all"><br>-- <br><div dir="ltr">Aditya prakash(SDDE)<br></div>
</div>