<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/4.6.6">
</HEAD>
<BODY>
On Wed, 2014-06-11 at 09:02 -0500, Steve Crow wrote:
<BLOCKQUOTE TYPE=CITE>
<PRE>
CentOS6.5

Sorry for the mention of sourceforge, no idea why I put that in there, I meant snort.org.

Thank you!

Steve

-----Original Message-----
From: James Lay [<A HREF="mailto:jlay@...13475...">mailto:jlay@...13475...</A>] 
Sent: Tuesday, June 10, 2014 5:46 PM
To: <A HREF="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</A>
Subject: Re: [Snort-users] Unified logging doesn't work.

On 2014-06-10 16:43, Steve Crow wrote:
<FONT COLOR="#737373">> I don’t question that your command works, my question has to do with </FONT>
<FONT COLOR="#737373">> having snort start at boot. The recommended install docs at </FONT>
<FONT COLOR="#737373">> sourceforge use /etc/init.d/snortd and /etc/sysconfig/snort files.</FONT>
<FONT COLOR="#737373">> But</FONT>
<FONT COLOR="#737373">> they are not designed for unified output as far as I can tell.</FONT>
<FONT COLOR="#737373">></FONT>
<FONT COLOR="#737373">> If I go with your command, where do I place it to have snort </FONT>
<FONT COLOR="#737373">> automatically start up at boot time?</FONT>
<FONT COLOR="#737373">></FONT>
<FONT COLOR="#737373">> Thanks again!</FONT>
<FONT COLOR="#737373">></FONT>
<FONT COLOR="#737373">> Steve</FONT>

<FONT COLOR="#737373">></FONT>
<FONT COLOR="#737373">> Well...I don't recognize the sysconfig file but I can tell you that:</FONT>
<FONT COLOR="#737373">></FONT>
<FONT COLOR="#737373">> snort --daq afpacket --daq-mode passive -i eth0:eth1</FONT>
<FONT COLOR="#737373">></FONT>
<FONT COLOR="#737373">> Work like a champ and create only one unified file.</FONT>
<FONT COLOR="#737373">></FONT>
<FONT COLOR="#737373">> James</FONT>
<FONT COLOR="#737373">></FONT>
<FONT COLOR="#737373">> Currently my /etc/rc.local....but I did my own setup. This is just </FONT>
<FONT COLOR="#737373">> straight command line.</FONT>
<FONT COLOR="#737373">></FONT>
<FONT COLOR="#737373">> James</FONT>

Ah...I understand now.  What distro are you runing?

James

</PRE>
</BLOCKQUOTE>
<BR>
Ah....I am not familiar with CentOS....certain somebody here has an idea <IMG SRC="cid:1402513538.3621.3.camel@...16724..." ALIGN="middle" ALT=":)" BORDER="0"><BR>
<BR>
James<BR>
<BR>
</BODY>
</HTML>