<div dir="ltr">(Sorry the previous email was broke. )<div><br></div><div>Al, do you indicate that Snort should generate .u2 files when it reads from a file?</div><div><br></div><div>Thanks,</div><div>Paul</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 21, 2017 at 11:04 PM, Paul Li <span dir="ltr"><<a href="mailto:paul@...17768..." target="_blank">paul@...17768...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><div dir="ltr">Yes, Al, there's .log file generated in the directory /var/log/snort. also, the same user can generate .u2 log when snort reads directly from the network interface.<div><br></div><div>So do you indicate that </div></div></span><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Tue, Feb 21, 2017 at 10:57 PM, Al Lewis (allewi) <span dir="ltr"><<a href="mailto:allewi@...589..." target="_blank">allewi@...589...</a>></span> wrote:<br></span><div><div class="h5"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word;color:rgb(0,0,0);font-size:14px;font-family:Courier,sans-serif">
<div>
<div>
<div>Have you checked if the snort user has permissions to write to the output directory? </div>
<div><br>
</div>
<div>Are the logs created when you run snort as root?</div>
<div><br>
</div>
<div>
<div id="m_4791044843012953645m_7889781113063929947MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="font-family:-webkit-standard;margin:0in 0in 0.0001pt;font-size:11pt">
<b><span style="font-size:12pt;color:rgb(31,73,125)"><font face="Courier">Albert Lewis<u></u><u></u></font></span></b></p>
<p class="MsoNormal" style="font-family:-webkit-standard;margin:0in 0in 0.0001pt;font-size:11pt">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family:-webkit-standard;margin:0in 0in 0.0001pt;font-size:11pt">
<font face="Courier"><span style="color:rgb(153,153,153);font-size:12pt">SOURCE</span><b><span style="font-size:12pt;color:red">fire</span></b><span style="color:rgb(153,153,153);font-size:12pt">, Inc. </span><span style="color:rgb(136,136,136);font-size:12pt">now
 part of </span><b><span style="font-size:12pt"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family:-webkit-standard;margin:0in 0in 0.0001pt;font-size:11pt">
<font face="Courier"><span style="font-size:12pt;color:rgb(153,153,153)">Email: </span><span style="font-size:12pt"><a href="mailto:allewi@...589..." style="color:purple" target="_blank">allewi@...589...</a><span style="color:rgb(79,129,189)"> </span></span></font></p>
</div>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="m_4791044843012953645m_7889781113063929947OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri;font-size:12pt;text-align:left;color:black;BORDER-BOTTOM:medium none;BORDER-LEFT:medium none;PADDING-BOTTOM:0in;PADDING-LEFT:0in;PADDING-RIGHT:0in;BORDER-TOP:#b5c4df 1pt solid;BORDER-RIGHT:medium none;PADDING-TOP:3pt">
<span style="font-weight:bold">From: </span>Paul Li <<a href="mailto:paul@...17768..." target="_blank">paul@...17768...</a>><br>
<span style="font-weight:bold">Date: </span>Tuesday, February 21, 2017 at 10:17 PM<br>
<span style="font-weight:bold">To: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@...5870...<wbr>.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-users] Snort read file to generate u2 logs.<br>
</div><div><div class="m_4791044843012953645h5">
<div><br>
</div>
<span>
<div>
<div>
<div dir="ltr">I'm using Snort read a file to generate alerts with the following command:
<div><br>
</div>
<div>sudo snort -q -u snort-user -g snort-group -c /etc/snort/snort.conf -r file-name<br>
</div>
<div><br>
</div>
<div>Snort can generate alerts but doesn't create u2 log files, neither other output (e.g., csv) , although the same snort.conf file will generate both alerts and .u2 files.) Wondering if there's a way Snort can generate specified format logs when reading a
 file.</div>
<div><br>
</div>
<div>Thanks,</div>
<div>Paul</div>
</div>
</div>
</div>
</span></div></div></span>
</div>

</blockquote></div></div></div><br></div>
</blockquote></div><br></div>