<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><font face="Times New Roman" size="3" style="font-size:12pt;"><br id="FontBreak"></font>Thanks,<div><br></div><div><b>but I have my syslog server configured</b></div><div><b><br></b></div><div><b>my file rsyslog.conf </b></div><div><br></div><div><br></div><div><div>$ModLoad imuxsock # provides support for local system logging</div><div>$ModLoad imklog   # provides kernel logging support (previously done by rklogd)</div><div>#$ModLoad immark  # provides --MARK-- message capability</div><div><br></div><div># provides UDP syslog reception</div><div>$ModLoad imudp</div><div>$UDPServerRun 514</div><div><br></div><div># provides TCP syslog reception</div><div>$ModLoad imtcp</div><div>$InputTCPServerRun 1514</div><div><br></div><div><br></div><div>###########################</div><div>#### GLOBAL DIRECTIVES ####</div><div>###########################</div><div><br></div><div>#</div><div># Use traditional timestamp format.</div><div># To enable high precision timestamps, comment out the following line.</div><div>#</div><div>#$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat</div><div><br></div><div># Filter duplicated messages</div><div>$RepeatedMsgReduction off</div><div><br></div><div>#</div><div># Set the default permissions for all log files.</div><div>#</div><div>$FileOwner syslog</div><div>$FileGroup adm</div><div>$FileCreateMode 0640</div><div>$DirCreateMode 0755</div><div>$Umask 0022</div><div>$PrivDropToUser syslog</div><div>$PrivDropToGroup syslog</div><div><br></div><div>#</div><div># Where to place spool files</div><div>#</div><div>$WorkDirectory /var/spool/rsyslog</div><div><br></div><div>#</div><div># Include all config files in /etc/rsyslog.d/</div><div>#</div><div>$IncludeConfig /etc/rsyslog.d/*.conf</div></div><div><br><br><br><b>and in my file snort.conf i have add :</b></div><div><br></div><div>output alert_syslog: host=@ syslog server:514, LOG_AUTH LOG_ALERT</div><div><br></div><div><br></div><div><b>but its not working</b> </div><div><br></div><div><br><br>Cordialement<b> </b><br>---------------------------------------------------------<br><b>HAKIM Iliass <br><br>Ingénieur  Réseaux </b><b><b>& Télécommunication </b><br><br>Université Bretagne Occidentale <br></b><br>+33 6 40 24 39 16<br><br><br><br><font style="" color="#008A17">Merci de penser ŕ l'environnement avant d'imprimer ce message.</font><br><br><br><div><hr id="stopSpelling">From: kkurzawa@...16800...<br>To: snort-users@...1844...ourceforge.net<br>Date: Thu, 19 Jun 2014 09:14:16 -0400<br>Subject: Re: [Snort-users] Snort alerts to a remote syslog server<br><br><style><!--
.ExternalClass p.ecxMsoNormal, .ExternalClass li.ecxMsoNormal, .ExternalClass div.ecxMsoNormal {
font-size:12.0pt;
font-family:"Times New Roman","serif";
}

.ExternalClass a:link, .ExternalClass span.ecxMsoHyperlink {
color:blue;
text-decoration:underline;
}

.ExternalClass span.ecxMsoHyperlinkFollowed {
color:purple;
text-decoration:underline;
}

.ExternalClass p {
font-size:12.0pt;
font-family:"Times New Roman","serif";
}

.ExternalClass span.ecxEmailStyle18 {
font-family:"Calibri","sans-serif";
color:#1F497D;
}

.ExternalClass .ecxMsoChpDefault {
font-size:10.0pt;
}

.ExternalClass div.ecxWordSection1 {
}

--></style><div class="ecxWordSection1"><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">I currently use syslog-ng and send that info to a splunk server. Little difference.</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;"> </span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">I tell syslog on the snort machine to watch the alerts file and send the info to an IP:port specification. Shazam.</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;"> </span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">My additions to the  syslog-ng.conf are as follows:</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;"> </span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">source s_ids {</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">   file(“/var/log/snort/alerts”);</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">};</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;"> </span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">destination d_splunk {</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">   upd(“server-name” port(1bajillion));</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">};</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;"> </span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">log {</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">   source(s_ids);</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">   destination(d_splunk);</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D;">};</span></p><div><div><p class="ecxMsoNormal"><span style="font-family:"Calibri","sans-serif";"> </span></p></div></div></div><br>------------------------------------------------------------------------------
HPCC Systems Open Source Big Data Platform from LexisNexis Risk Solutions
Find What Matters Most in Your Big Data with HPCC Systems
Open Source. Fast. Scalable. Simple. Ideal for Dirty Data.
Leverages Graph Analysis for Fast Processing & Easy Data Exploration
http://p.sf.net/sfu/hpccsystems<br>_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!</div></div>                                          </div></body>
</html>