<div dir="ltr"><div><div>Perhaps snort-sigs was the wrong place to post this.  Removing them and adding snort-devel.<br><br></div>Thanks.<br><br></div>Mike Cox<br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 22, 2016 at 10:59 AM, Mike Cox <span dir="ltr"><<a href="mailto:mike.cox52@...2499..." target="_blank">mike.cox52@...2499...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>I've been messing around with the Packet Performance Monitor (PPM) preprocessor and it seem like a nice capability of Snort.<br><br></div>However, when I configure it to suspend/disable expensive rules once the thresholds are reached, how do I know which rule was suspended?  I see it generates the GID 134 alert along with the packet it was considering at the time but I need to be able to know what rule was suspended so I can:<br><br></div><div>1) account for and correlate the coverage gap (if necessary)<br></div><div>2) tune the rule<br></div><div><br></div>Thanks!<span class="HOEnZb"><font color="#888888"><br><br></font></span></div><span class="HOEnZb"><font color="#888888">Mike Cox<br></font></span></div>
</blockquote></div><br></div></div>