<div dir="ltr">If you just want to look for bad traffic that you are specifying and not using rules from VRT or ET, then you just want to make local.rules and have snort read that.  It's not a database per se, but just a text file that you create the rules in.  If it's the logging you are having problems with, you ned to specify how you want the output to go.. to a unified2 file, syslog or text file.<div><br></div><div>You can sniff and manage on the same interface, though it's not recommended for production to do it that way.<br><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 2, 2015 at 2:18 PM, PattiMichelle <span dir="ltr"><<a href="mailto:miche1@...741..." target="_blank">miche1@...741...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#99FFFF" text="#000099">
    Dear Snort Users:  I'm trying to figure out how to set up Snort on
    my Opensuse 13.1x64 system to sniff (and log) instances of "bad"
    network traffic (via snort signature database).  It seems tricky to
    get this going.  There are websites which gave me enough information
    to get the sniffer operational, but I can't seem to figure out how
    to get to read a database of bad signatures, and log only those bad
    ones.  Does anyone have a simple DIY for this?  I'm not trying to
    set up an alarm or automatic response system.  Just to have a
    logfile available to look at from time to time, or maybe diff
    occasionally.<br>
    <br>
    Also, is it necessary to run snort in a virtual machine as a
    "sandbox," or else to have two NICs, one for normal LAN traffic and
    the other for Snort?  <br>
    <br>
    Thank You Very Much,<br>
    Patricia<br>
    <br>
    <br>
  </div>

<br>------------------------------------------------------------------------------<br>
Dive into the World of Parallel Programming! The Go Parallel Website,<br>
sponsored by Intel and developed in partnership with Slashdot Media, is your<br>
hub for all things parallel software development, from weekly thought<br>
leadership blogs to news, videos, case studies, tutorials and more. Take a<br>
look and join the conversation now. <a href="http://goparallel.sourceforge.net" target="_blank">http://goparallel.sourceforge.net</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>