<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/4.6.6">
</HEAD>
<BODY>
On Fri, 2015-05-08 at 12:11 +1200, adrianc@...17159... wrote:
<BLOCKQUOTE TYPE=CITE>
<PRE>
I'd like to report an issue I had with your definition.

I was trying to get Snort to interoperate with some new tools I could 
get to read Unified2 format but lost a day or two figuring out how to 
test the setup on the command-line. Eventually I found that it wasn't 
reading my configuration file and that I needed to tell it to with the 
-c option.

I distinctly reminder getting thrown by the concept of a "Rules File" 
which the snort command's -h documentation used to describe the option, 
not knowing that was the same as the configuration file at 
/etc/snort/snort.conf on Ubuntu.

Can we please change the documentation for the -c flag to "Use config 
file <rules>" or "Use Rules (config) File <rules>"? I think that would 
have been enough to avoid me loosing those days of work.

Thanks.


------------------------------------------------------------------------------
One dashboard for servers and applications across Physical-Virtual-Cloud 
Widest out-of-the-box monitoring support with 50+ applications
Performance metrics, stats and reports that give you Actionable Insights
Deep dive visibility with transaction tracing using APM Insight.
<A HREF="http://ad.doubleclick.net/ddm/clk/290420510;117567292;y">http://ad.doubleclick.net/ddm/clk/290420510;117567292;y</A>
_______________________________________________
Snort-users mailing list
<A HREF="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</A>
Go to this URL to change user options or unsubscribe:
<A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A>
Snort-users list archive:
<A HREF="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</A>

Please visit <A HREF="http://blog.snort.org">http://blog.snort.org</A> to stay current on all the latest Snort news!
</PRE>
</BLOCKQUOTE>
<BR>
I'd have to second that now that I look at it:<BR>
<BR>
<TT>[19:15:11 <A HREF="mailto:jlay@...6929...">gateway</A>:~$] snort --help</TT><BR>
<BR>
<TT>   ,,_     -*> Snort! <*-</TT><BR>
<TT>  o"  )~   Version 2.9.7.2 GRE (Build 177) </TT><BR>
<TT>   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team</TT><BR>
<TT>           Copyright (C) 2014 Cisco and/or its affiliates. All rights reserved.</TT><BR>
<TT>           Copyright (C) 1998-2013 Sourcefire, Inc., et al.</TT><BR>
<TT>           Using libpcap version 1.5.3</TT><BR>
<TT>           Using PCRE version: 8.31 2012-07-06</TT><BR>
<TT>           Using ZLIB version: 1.2.8</TT><BR>
<BR>
<TT>USAGE: snort [-options] <filter options></TT><BR>
<TT>Options:</TT><BR>
<TT>        -A         Set alert mode: fast, full, console, test or none  (alert file alerts only)</TT><BR>
<TT>                   "unsock" enables UNIX socket logging (experimental).</TT><BR>
<TT>        -b         Log packets in tcpdump format (much faster!)</TT><BR>
<TT>        -B <mask>  Obfuscated IP addresses in alerts and packet dumps using CIDR mask</TT><BR>
<TT>        -c <rules> Use Rules File <rules></TT><BR>
<TT>        -C         Print out payloads with character data only (no hex)</TT><BR>
<BR>
Someone just starting out is most likely going to look at this and think "oh, that's my snort.rules or local.rules file".  From the doc/INSTALL file:<BR>
<BR>
<TT>6.) Check your rules file.  By default, step 3 configures Snort for the features </TT><BR>
<TT>    required by the included etc/snort.conf.  You can validate it with:</TT><BR>
<BR>
<TT>    src/snort -c etc/snort.conf -T</TT><BR>
<BR>
Even the official docs online at:<BR>
<BR>
<A HREF="http://manual.snort.org/node6.html">http://manual.snort.org/node6.html</A><BR>
<BR>
state:  "To enable Network Intrusion Detection System (NIDS) mode so that you don't record every single packet sent down the wire, try this:<BR>
<BR>
<PRE>
    ./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
</PRE>
<BR>
where <TT>snort.conf</TT> is the name of your snort configuration file."<BR>
<BR>
<BR>
That should probably be looked at....what say you Cisco/Sourcefire?<BR>
<BR>
James
</BODY>
</HTML>