<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
 
 </head><body>
 
  <p>Hi Jeremy,</p>
  <p><br /></p>
  <p>That was it! Thank you :)</p>
  <p>In the /etc/sysconfig/snort file, I had to comment out two lines: ALERMODE and BINARY_LOG</p>
  <p>Apparently these two lines override my parameters in /etc/snort/snort.conf - resulting in pcap logs every time. </p>
  <p><br /></p>
  <p>Thanks again!</p>
  <p><br /></p>
  <p>KT</p>
  <p><br /></p>
  <p><br /></p>
  <blockquote type="cite">
   On August 22, 2014 at 7:10 PM Jeremy Hoel <jthoel@...11827...> wrote:
   <br />
   <br />
   <div dir="ltr">
    Centos can also have defaults in the /etc/sysconfig/snort file. I would check there for any defaults also.  Did you install via rpm or by source?  I am running 50+ snort sensors on centos, so I know it works fine, but I do compile from source instead of using the rpm, but we can figure it out if you want.
    <br />
   </div>
   <div class="gmail_extra">
    <br />
    <br />
    <div class="gmail_quote">
     On Fri, Aug 22, 2014 at 11:04 PM, Khanh Tran 
     <span><<a target="_blank" href="mailto:ktran@...16949...">ktran@...16949...</a>></span> wrote:
     <br />
     <blockquote class="gmail_quote">
      <span style="text-decoration: underline;"></span>
      <div>
       <p>Hello,</p>
       <p><br /></p>
       <p>I'm running CentOS release 6.5 (Final):</p>
       <p># uname -a</p>
       <p>2.6.32-431.1.2.0.1.el6.x86_64 #1 SMP Fri Dec 13 13:06:13 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux</p>
       <p><br /></p>
       <p>I just tried your suggestion by executing snort using exact path...Unfortunately no luck. Going to rebuild this weekend and will try running snort on Ubuntu or Fedora. So strange...</p>
       <p>Thanks</p>
       <p><br /></p>
       <p>KT</p>
       <div>
        <div class="h5">
         <p><br /></p>
         <blockquote type="cite">
          <p>On August 22, 2014 at 6:05 PM waldo kitty <<a target="_blank" href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>> wrote:<br /><br /><br />On 8/22/2014 1:17 PM, Khanh Tran wrote:<br />> Hello,<br />><br /> ><br />> I'm not sure what I'm doing wrong but snort consistently output pcap logs<br />> instead of unified2 format which is required by Barnyard2.<br />><br />> Snort seems to ignore my unified output completely. Other outputs such as<br /> > tcpdump, syslog and alerting worked fine. But my unified output line --> 'output<br />> unified2: filename snort.u2, limit 128' is completely ignored by snort. Even<br />> when this line is commented out, snort continues to generate snort.log.xxxx in<br /> > pcap format. It seems to ignore output unified2 line completely.<br /><br />what OS are you running snort on?<br /><br />i ask because we've seen instances where folks on *nix thought they were running <br />the snort binary but were, instead, running a wrapper script which had hardcoded <br /> options in it which overrode what they thought they were sending on the command <br />line...<br /><br />the way around this is to always use the path to execute snort so that you <br />/know/ that what you think you are running is actually what you are running...<br /> <br />eg: /usr/local/snort/bin/snort some command params here<br /> /etc/init.d/snort start<br /><br />-- <br /> NOTE: No off-list assistance is given without prior approval.<br /> Please *keep mailing list traffic on the list* unless<br /> private contact is specifically requested and granted.<br /><br />------------------------------------------------------------------------------<br />Slashdot TV. <br />Video for Nerds. Stuff that matters.<br /><a target="_blank" href="http://tv.slashdot.org/">http://tv.slashdot.org/</a><br /> _______________________________________________<br />Snort-users mailing list<br /><a target="_blank" href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...2652...e.net</a><br />Go to this URL to change user options or unsubscribe:<br /> <a target="_blank" href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br />Snort-users list archive:<br /><a target="_blank" href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br /> <br />Please visit <a target="_blank" href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!<br /></p>
         </blockquote>
        </div>
       </div>
      </div>
      <br />------------------------------------------------------------------------------
      <br /> Slashdot TV.
      <br /> Video for Nerds.  Stuff that matters.
      <br /> 
      <a target="_blank" href="http://tv.slashdot.org/">http://tv.slashdot.org/</a>
      <br />_______________________________________________
      <br /> Snort-users mailing list
      <br /> 
      <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...1753...s.sourceforge.net</a>
      <br /> Go to this URL to change user options or unsubscribe:
      <br /> 
      <a target="_blank" href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
      <br /> Snort-users list archive:
      <br /> 
      <a target="_blank" href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>
      <br /> 
      <br /> Please visit 
      <a target="_blank" href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!
      <br />
     </blockquote>
    </div>
    <br />
   </div>------------------------------------------------------------------------------
   <br />Slashdot TV. 
   <br />Video for Nerds. Stuff that matters.
   <br />http://tv.slashdot.org/_______________________________________________
   <br />Snort-users mailing list
   <br />Snort-users@lists.sourceforge.net
   <br />Go to this URL to change user options or unsubscribe:
   <br />https://lists.sourceforge.net/lists/listinfo/snort-users
   <br />Snort-users list archive:
   <br />http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users
   <br />
   <br />Please visit http://blog.snort.org to stay current on all the latest Snort news!
  </blockquote>
  <p><br /> </p>
 
</body></html>