<div dir="ltr">Try adding "-l /var/log/snort" to step # 4.</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 22, 2016 at 3:33 PM, Matthew White <span dir="ltr"><<a href="mailto:on3moda@...11827..." target="_blank">on3moda@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><p>1. The specified unified 2 log is not being created.<br>2. Instead I get the snort.log.date (tcpdump) default and alerts.<br>3. snort.conf - output unified2: filename internal.u2, limit 128, vlan_event_types<br>4. running snort with sudo /usr/local/bin/snort -D -q -i eth3 -F /etc/snort/internalbpf.filter -c /usr/src/snort-2.9.8.0/etc/snort.conf.internal -u snort<br>5. No errors or warnings when grep from /var/log/messages<br>6. Running RHEL 6<br>7. Installed and compiled from source<br>8. Snort has rwx for /var/log/snort<br>9. Deleted all logs<br>10. Since this was installed from a tarball no file /etc/sysconfig/snort exists.<br>11. tail -f alerts and snort.log are working great.<br>12. Manually made /etc/sysconfig/snort with the following with no success as well.</p><p># /etc/sysconfig/snort<br># $Id: <br>#### General Configuration<br>INTERFACE=eth2<br>CONF=/(Path to)/snort.conf<br>USER=snort<br>GROUP=snort<br>PASS_FIRST=0<br>#### Logging & Alerting<br>LOGDIR=/var/log/snort<br>ALERTMODE=fast<br>DUMP_APP=1<br>BINARY_LOG=1<br>NO_PACKET_LOG=0<br>PRINT_INTERFACE=0</p></div>
<br>------------------------------------------------------------------------------<br>
Site24x7 APM Insight: Get Deep Visibility into Application Performance<br>
APM + Mobile APM + RUM: Monitor 3 App instances at just $35/Month<br>
Monitor end-to-end web transactions and take corrective actions now<br>
Troubleshoot faster and improve end-user experience. Signup Now!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=267308311&iu=/4140" rel="noreferrer" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=267308311&iu=/4140</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" rel="noreferrer" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>