<div dir="ltr">I am running the latest version of snort<div><br></div><div>snort-2.9.6.1-1.x86_64<br></div><div><br></div><div>in /etc/snort/snort.conf</div><div><br></div><div><br></div><div>I added this and commented out the other lines:</div>
<div><br></div><div>output unified2: filename snort.u2, limit 128<br></div><div><br></div><div><br></div><div>if I try to start snort using the /etc/init.d/snortd script it runs it as:</div><div><br></div><div><br></div><div>
/usr/sbin/snortĀ -A fast -b -d -D -i eth0 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort<br></div><div><br></div><div><br></div><div>and I never see those snort u2 files instead I see:</div><div><br></div><div>
/var/log/snort/snort.log.xxxxxxxxxxx</div><div><br></div><div><br></div><div>and barnyard2 seems to have an issue with reading those files.</div><div><br></div><div><br></div><div>If i manually run snort form (/usr/sbin/snort -c /etc/snort/snort.conf) without any options it then creates the right file type /var/log/snort/snort.u2.xxxxxxxx</div>
<div><br></div><div><br></div><div>It is almost like it is not reading /etc/snort/snort.conf?</div><div><br></div><div>If anyone has any ideas that would be great.</div><div><br></div><div><br></div><div>Thanks</div><div>
<br></div><div><br></div><div><br></div><div><br></div></div>