<p>Hello there, we have a testing.rules file with the following 3 lines</p>
<p>#testing.rules<br>alert icmp any any -> any any (msg:"$TESTING rule$"; sid:1000001;)<br>alert tcp any any -> any any (msg:"test eBay rule"; flow:established; content:"ebay"; nocase; sid:1000002;rev:1;)</p>

<div>we put the rule as generic as we can, of course ebay is just an example.</div>
<div> </div>
<div>ping any site produces the alert $TESTING rule$ on the dos screen snort has been started.</div>
<p>But using Internet Explorer to go to ebay, does not produce any alert.</p>
<div>Our question is, what part of a rule triggers web visiting activity?</div>
<div><br>thanks,<br>m</div>