<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">I have just finished installing snort/barnyard/aanval.<o:p></o:p></p>
<p class="MsoNormal">I can see that snort is working.  I see messages queuing in the alert file in /var/log/snort/eth0.<o:p></o:p></p>
<p class="MsoNormal">Not sure if barnyard is not populating mysql or if aanval is not working.<o:p></o:p></p>
<p class="MsoNormal">I got this message in aanval under configuration/snort module settings:<o:p></o:p></p>
<p class="MsoNormal"><img width="608" height="116" id="Picture_x0020_1" src="cid:image001.png@...16789..."><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I verified that the db is correct as is the user name and password.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have this in the syslog for when barnyard loads:<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:01 rlicsnortids1 barnyard2[1456]: Running in Continuous mode<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:01 rlicsnortids1 barnyard2[1456]:<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:01 rlicsnortids1 barnyard2[1456]:         --== Initializing Barnyard2 ==--<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:01 rlicsnortids1 barnyard2[1456]: Initializing Input Plugins!<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:01 rlicsnortids1 barnyard2[1456]: Initializing Output Plugins!<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:01 rlicsnortids1 barnyard2[1456]: Parsing config file "/etc/snort/barnyard.conf"<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1456]: Log directory = /var/log/snort/eth0<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1456]: Initializing daemon mode<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1456]: Daemon parent exiting<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: Daemon initialized, signaled parent pid: 1456<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: PID path stat checked out ok, PID path set to /var/run/<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: Writing PID "1457" to file "/var/run//barnyard2_NULL.pid"<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database: compiled support for (mysql)<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database: configured to use mysql<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database: schema version = 107<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database:           host = localhost<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database:           user = snort_user<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database:  database name = snortdb<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database:    sensor name = rlicsnortids1:NULL<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database:      sensor id = 1<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database:     sensor cid = 1<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database:  data encoding = hex<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database:   detail level = full<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database:     ignore_bpf = no<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: database: using the "log" facility<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]:<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]:         --== Initialization Complete ==--<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: Barnyard2 initialization completed successfully (pid=1457)<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: WARNING: Unable to open waldo file '/var/log/snort/eth0/barnyard2.waldo' (No such file or directory)<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: Opened spool file '/var/log/snort/eth0/snort.log.1397656582'<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: Closing spool file '/var/log/snort/eth0/snort.log.1397656582'. Read 0 records<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: Opened spool file '/var/log/snort/eth0/snort.log.1397658954'<o:p></o:p></p>
<p class="MsoNormal">Apr 16 09:36:04 rlicsnortids1 barnyard2[1457]: Waiting for new data<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">The only error I see is about WALDO.  Not sure if that is an issue or not.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Again thanks everyone for all the help.<o:p></o:p></p>
</div>
</body>
</html>