<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-sigs] if match on rule don't log or something like that</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Alex:</FONT>
</P>

<P><FONT SIZE=2>Check if you are using the snort option:</FONT>
</P>

<P>        <FONT SIZE=2>-o         Change the rule testing order to Pass|Alert|Log</FONT>
</P>

<P><FONT SIZE=2>This will priorize the pass rules before the alert rules nad must resolve your problem.</FONT>
</P>

<P><FONT SIZE=2>Saludos,</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Alexandru Balan [<A HREF="mailto:jay@...1722...">mailto:jay@...1722...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Tuesday, December 16, 2003 11:20 AM</FONT>
<BR><FONT SIZE=2>To: snort-sigs@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-sigs] if match on rule don't log or something like that</FONT>
</P>
<BR>
<BR>

<P>        <FONT SIZE=2>Hello, i'm getting a lot of false positives on a few of the rules and</FONT>
<BR><FONT SIZE=2>i'd like to customise them like the following example: </FONT>
</P>

<P><FONT SIZE=2>let's say i have server x which generates most false positives and i</FONT>
<BR><FONT SIZE=2>want to ignore matches on some signature if the packets are directed to</FONT>
<BR><FONT SIZE=2>him. </FONT>
<BR><FONT SIZE=2>I tried adding another include $rule_path/server.x/false-positives.rules</FONT>
<BR><FONT SIZE=2>in which i added the signature with "pass" ( the manual said pass</FONT>
<BR><FONT SIZE=2>ignores the packet ). But still the packet is matched on the default</FONT>
<BR><FONT SIZE=2>rule ( alert $ANY - > $MY_HOME_NET ..signature ( which includes that</FONT>
<BR><FONT SIZE=2>server  ). </FONT>
</P>

<P><FONT SIZE=2>I'm terribly sorry for my poor exprimation. I'm jus trying to ignore</FONT>
<BR><FONT SIZE=2>matches to some hosts using a "false-positives.rules" file included in</FONT>
<BR><FONT SIZE=2>snort.conf</FONT>
</P>

<P><FONT SIZE=2>-- </FONT>
<BR><FONT SIZE=2>Jay</FONT>
<BR><FONT SIZE=2>Public GnuPG key AAB551A4 available at</FONT>
<BR><FONT SIZE=2><A HREF="http://www.ines.ro/public_keys/jay.gpg" TARGET="_blank">http://www.ines.ro/public_keys/jay.gpg</A></FONT>
</P>

</BODY>
</HTML>