<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-ZA link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Dear Tomas,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I had the same problem and it was resolved by setting “BINARY_LOG=0” in /etc/sysconfig/snort and restarted snort.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>See this article:<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><a href="https://cyberoperations.wordpress.com/class-archives/2013-class/09-mysql-5-1-barnyard/">https://cyberoperations.wordpress.com/class-archives/2013-class/09-mysql-5-1-barnyard/</a><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>especially the section…..<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>If you include the switch -A full, snort appears to change the file name it uses for its output. The -A switch determines the alert mode, and can be set to full, fast, or none Interestingly, I found that no matter which of those choices you make, the name of the output file changes to snort.log. We can handle this problem by commenting out line 69 in /etc/sysconfig/snort so that portion of the file reads<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># How should Snort alert? Valid alert modes include fast, full, none, and<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># unsock.  Fast writes alerts to the default "alert" file in a single-line,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># syslog style alert message.  Full writes the alert to the "alert" file<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># with the full decoded header as well as the alert message.  None tu#rns off<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># alerting. Unsock is an experimental mode that sends the alert information<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># out over a UNIX socket to another process that attaches to that socket.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># -A {alert-mode}<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># output alert_{type}: {options}<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>#ALERTMODE=full<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>This almost solves the problem. We also cannot use the -b switch to specify tcpdump format for the logs. Modify line 81 of /etc/sysconfig/snort so that portion becomes<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># Should Snort keep binary (AKA pcap, AKA tcpdump) logs also? This is<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># recommended as it provides very useful information for investigations.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># -b<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'># output log_tcpdump: {log name}<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>BINARY_LOG=0<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>If you make these changes to /etc/sysconfig/snort then restart it, it will now correctly send its results to the files /var/log/snort/snort.u2<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Good lucky,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Tawanda<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'><o:p> </o:p></span></b></p><p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Tomas Hajek [mailto:hajek@...6518...] <br><b>Sent:</b> 14 April 2015 22:18<br><b>To:</b> snort-users@lists.sourceforge.net<br><b>Subject:</b> [Snort-users] Snort 2.9.7.2 and barnyard2 1.13 on RHEL via RPM<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><div><div><div><p class=MsoNormal>Hello Everyone, <br><br>I have barnyard2 1.13, snort 2.9.7.2, working on Red Hat Enterprise Linux 6.6 installed via rpms.<o:p></o:p></p></div></div><p class=MsoNormal style='margin-bottom:12.0pt'>I am running both barnyard2 and snort using their typical config files snort.conf and barnyard2.conf but also with the RHEL way of using sysconfig and init scripts.<br><br>I had many problems initially getting unified2 logging to work but finally came to what I believe to be the underlying issue.  This was after running through the removal of -A and -b, for specifics I mean modifying the parameters in /etc/sysconfig/snort to set the following:<br>BINARY_LOG=0<br>ALERTMODE=<br><br>The larger problem for me seems to be the init scripts.  For barnyard2 it assumes a log directory of /var/log/snort/$INTERFACE where $INTERFACE is the name of the network interface (e.g. eth0, or eth1).  The snort init script seems to make a special case of running snort on a single interface and as such logs to /var/log/snort/ with a single interface and /var/log/snort/$INTERFACE/ when multiple interfaces are specified in the sysconfig file.  This means that when I have only 1 network interface configured, snort is writing the merged.log to /var/log/snort/ but barynard2 expects it to be in /var/log/snort/eth0/.  <br><br>I tried to change the value of LOG_FILE in /etc/sysconfig/barnyard2 to ../merged.log or /var/log/snort/merged.log but it appears that that variable is stripped down to just the filename so I can't seem to fix it with that.   I also noted that barnyard2 also expects a timestamp to be appended to the unified2 log (so unified2 logging also needs to have nostamp removed in /etc/snort/snort.conf default config ).<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>I confess that I am a new user of snort and barnyard2 and this had me stumped for a day or two and I am wondering how others are maintaining snort and barnyard2 on a RHEL system with RPM installs?<o:p></o:p></p></div><div><p class=MsoNormal>Has anyone experience the same that I have?  <o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>Have I missed something obvious or is my assessment above correct?<o:p></o:p></p></div><div><p class=MsoNormal>I admit at the moment I just added a second interface to snort and now have snort and barnyard2 logging and reading from the same corresponding directories ( /var/log/snort/eth0 and /var/log/snort/eth1) but is there a way to get this to work properly with just one interface?<o:p></o:p></p></div><p class=MsoNormal><o:p> </o:p></p><div><div><div><div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'>Any advice would be appreciated.<o:p></o:p></p></div><div><p class=MsoNormal>thanks,<o:p></o:p></p></div><div><p class=MsoNormal> -Tomas<o:p></o:p></p></div><div><p class=MsoNormal>-- <o:p></o:p></p><div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>                Tomas Hajek<o:p></o:p></p></div><div><p class=MsoNormal>                <a href="mailto:hajek@...6518..." target="_blank">hajek@...6518...</a><o:p></o:p></p></div><div><p class=MsoNormal>                1-248-370-3505<o:p></o:p></p></div><div><p class=MsoNormal>                Senior Linux Systems Engineer<o:p></o:p></p></div><div><p class=MsoNormal>                University Technology Services<o:p></o:p></p></div><div><p class=MsoNormal>                Oakland University<o:p></o:p></p></div></div></div></div></div></div></div></div></div></div></div></body></html>