<div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px"><b>what "log file"? / </b></span><b style="font-family:arial,sans-serif;font-size:13px">what is its name?</b><div><br></div><div>I'm assuming "snort.log", as this is whats configured in my snort.conf in my output module section.  I've also seen that it's being used via ps aux and have additional snort.log files with date/time stamps appended to them.</div><div><br><span style="font-family:arial,sans-serif;font-size:13px"><b>what does the output section of your snort.conf look like?</b></span></div><div><div>...</div><div>unified2 </div><div># Recommended for most installs</div><div>output unified2: filename snort.log, limit 128, nostamp, mpls_event_types, vlan_event_types</div><div>#output unified2: output log_unified2: filename /private/var/log/snort/snort.log, limit 128</div></div><div>...</div><div><br style="font-family:arial,sans-serif;font-size:13px"><span style="font-family:arial,sans-serif;font-size:13px"><b>is barnyard reading the log file and populating the database?</b></span></div><div><br></div><div>I can only assume so, as I do not receive any errors when I run the following command:</div><div><br></div><div><span style="font-family:arial,sans-serif;font-size:13px">/usr/local/bin/barnyard2 -c /usr/local/etc/barnyard2.conf -d /private/var/log/snort -f snort.log</span><br></div><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><font face="arial, sans-serif">I do have the same files within /var/log/snort/</font></div><div><br style="font-family:arial,sans-serif;font-size:13px"><b><span style="font-family:arial,sans-serif;font-size:13px">are barnyard and snorby both using the same database?</span><br></b></div><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><font face="arial, sans-serif">This is a good question!  I know barnyard is configured to use the db I setup "snort".  However, I just realized my snorby database.yml was not configured correctly.  I did not have it pointing to the snort db.</font></div><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">I just corrected this and now I received this error:</font></div><div><font face="arial, sans-serif"><br></font></div><div>







<p>DataObjects::SyntaxError (Table 'snort.users' doesn't exist):</p>
<p>  app/controllers/application_controller.rb:37:in `user_setup'</p><p>I checked the database and it does have a number of tables setup, but I do not see snort.users.  I Googled and found someone suggesting to run rake snorby:setup  but running that I get an error saying that the snort database already exists. =).  Is there an easy way to add the necessary table?  Can I just add an empty snort.users table... I have a feeling it would not be that easy.  Should I just blow away the database?  I did run: <a href="https://github.com/eldondev/Snort/blob/master/schemas/create_mysql" target="_blank" class="vt-p" style="font-size:13px;font-family:arial,sans-serif">create_mysql</a> previously.</p><p><br></p><p>Thanks again!</p></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 10, 2014 at 8:10 PM, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...14940...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 9/10/2014 5:14 PM, Matt M. wrote:<br>
> Afternoon,<br>
><br>
> I've been able to get Snort, Barnyard2, Pulled Pork, and Snorby "working".<br>
>   However, I'm not seeing any sensors populate in Snorby.<br>
><br>
</span>> My *Snort Config* has:<br>
<span class="">> output unified2: filename snort.log, limit 128, nostamp, mpls_event_types,<br>
> vlan_event_types<br>
><br>
</span>> *Barnyard2.conf* has:<br>
<span class="">> output database: log, mysql, dbname=snort user=snorby password=PASSWORD<br>
> host=localhost<br>
><br>
> I can see that snort is running and creating a snort.log file.<br>
<br>
</span>what "log file"?<br>
what is its name?<br>
what does the output section of your snort.conf look like?<br>
is barnyard reading the log file and populating the database?<br>
are barnyard and snorby both using the same database?<br>
<br>
details, man... details ;)<br>
<br>
<br>
<br>
--<br>
  NOTE: No off-list assistance is given without prior approval.<br>
        Please *keep mailing list traffic on the list* unless<br>
        private contact is specifically requested and granted.<br>
<br>
------------------------------------------------------------------------------<br>
Want excitement?<br>
Manually upgrade your production database.<br>
When you want reliability, choose Perforce<br>
Perforce version control. Predictably reliable.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=157508191&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=157508191&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Matt M., CISSP, GCFE, GCFA<br><br><b>“</b><span style="color:rgb(51,51,51);font-family:Arial,Helvetica,sans-serif;font-style:italic;line-height:20px">To disagree leads to study, to study leads to understanding, to understand is to appreciate, to appreciate is to love. So maybe I’ll end up loving your theory.<b>”</b> -</span><em style="border:0px;margin:0px;outline:0px;padding:0px;vertical-align:baseline;color:rgb(51,51,51);font-family:Arial,Helvetica,sans-serif;line-height:20px">John Wheeler</em><br></div>
</div>