
hmmm I will test this here as well..<br><br>Regards,<br><br>Will<br><br><div class="gmail_quote">On Mon, Jan 4, 2010 at 2:03 PM, Rich Rumble <span dir="ltr"><<a href="mailto:richrumble@gmail.com">richrumble@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="im">> I'm also in the middle of a "front end" coding marathon that is<br>


> initially aimed as a GTK version of Sguil (read loose clone, written in<br>

> Perl/GTK2) with plans for both a dedicated client and web based client<br>

> that support real time event monitoring coupled with sensor/server<br>

> management.<br>

<br>

> If you're interesting in getting some dirty fingers then by all means<br>

> contact me offline.<br>

</div>I'm a PHP man so I doubt I'll be of much help, in fact I've not been<br>

able to get the unified2 logs over to mysql yet using Barnyard2. I've<br>

configured --with-mysql, and run the following command line:<br>

barnyard2 -c /usr/local/etc/barnyard2.conf -v -d /var/log/suricata/ -f<br>

unified2 -w /var/log/suricata/book.mark<br>

And I recieve the following:<br>

WARNING: Can't extract timestamp extension from<br>

'unified2.alert.1262466596'using base 'unified2'<br>

WARNING: Can't extract timestamp extension from<br>

'unified2.alert.1262470938'using base 'unified2'<br>

WARNING: Can't extract timestamp extension from<br>

'unified2.alert.1262470943'using base 'unified2'<br>

WARNING: Can't extract timestamp extension from<br>

'unified2.alert.1262629276'using base 'unified2'<br>

WARNING: Can't extract timestamp extension from<br>

'unified2.alert.1262468877'using base 'unified2'<br>

WARNING: Can't extract timestamp extension from<br>

'unified2.alert.1262466604'using base 'unified2'<br>

WARNING: Can't extract timestamp extension from<br>

'unified2.alert.1262485828'using base 'unified2'<br>

WARNING: Can't extract timestamp extension from<br>

'unified2.alert.1262467097'using base 'unified2'<br>

WARNING: Can't extract timestamp extension from<br>

'unified2.alert.1262466952'using base 'unified2'<br>

etc...<br>

I don't have snort on this machine, but I've pointed the<br>

barnyard2.conf file to copies of the .map files and uncommented the<br>

mysql line at the bottom and tuned to the proper password and DB name.<br>

<br>

I started suricata in daemon mode: /usr/local/bin/suricata -c<br>

suricata.yaml -i eth0 -D<br>

I'd love to get this going and even throw in a basic how-to afterward.<br>

<font color="#888888">-rich<br>

</font></blockquote></div><br>