<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
Sorry I didn’t answer you back on this sooner Mike, but I am glad you found the answer!
<div class=""><br class="">
</div>
<div class=""><span style="font-family: 'Lucida Grande';" class="">--</span><br class="">
<span style="font-family: 'Lucida Grande';" class=""><b class="">Joel Esler</b></span><br class="">
<span style="font-family: 'Lucida Grande';" class="">Open Source Manager</span><br class="">
<span style="font-family: 'Lucida Grande';" class="">Threat Intelligence Team Lead</span><br class="">
<span style="font-family: 'Lucida Grande';" class="">Talos</span></div>
<div class=""><font face="Lucida Grande" class=""><br class="">
</font>
<div class="">
<div>
<blockquote type="cite" class="">
<div class="">On Oct 1, 2014, at 4:36 PM, Mike Cox <<a href="mailto:mike.cox52@...2420..." class="">mike.cox52@...2420...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div dir="ltr" class="">
<div class="">Nevermind.  I found a newer Snort manual as well as this helpful error message:<br class="">
<br class="">
<pre class="">Cannot use the fast_pattern content modifier for a lone http cookie/http raw uri /http raw header /http raw cookie /status code / status msg /http method buffer content.</pre>
<br class="">
Good to know, thanks!<br class="">
<br class="">
</div>
-Mike Cox<br class="">
<div class="">
<div class="gmail_extra"><br class="">
<div class="gmail_quote">On Tue, Sep 30, 2014 at 1:59 PM, Mike Cox <span dir="ltr" class="">
<<a href="mailto:mike.cox52@...2420..." target="_blank" class="">mike.cox52@...2420...</a>></span> wrote:<br class="">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr" class="">
<div class="">
<div class="">I apologize if this is an elementary question but the Snort manual wasn't *entirely* clear on this.  From what I can tell, the Fast Pattern Matcher isn't using content matches if they have a 'http_raw_*' keyword, even if they are the longest content
 match.  However, non-'raw' HTTP Inspect keywords (e.g. "http_uri", "http_header", etc.) are used by the Fast Pattern Matcher and it searches the normalized buffer.  Is this correct?  Is this the case for all Snort versions that use the HTTP Inspect preprocessor
 and the Fast Pattern Matcher?<br class="">
<br class="">
</div>
Thanks!<span class="HOEnZb"><font color="#888888" class=""><br class="">
<br class="">
</font></span></div>
<span class="HOEnZb"><font color="#888888" class="">-Mike Cox<br class="">
</font></span></div>
</blockquote>
</div>
<br class="">
</div>
</div>
</div>
------------------------------------------------------------------------------<br class="">
Meet PCI DSS 3.0 Compliance Requirements with EventLog Analyzer<br class="">
Achieve PCI DSS 3.0 Compliant Status with Out-of-the-box PCI DSS Reports<br class="">
Are you Audit-Ready for PCI DSS 3.0 Compliance? Download White paper<br class="">
Comply to PCI DSS 3.0 Requirement 10 and 11.5 with EventLog Analyzer<br class="">
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=154622311&iu=/4140/ostg.clktrk_______________________________________________" class="">http://pubads.g.doubleclick.net/gampad/clk?id=154622311&iu=/4140/ostg.clktrk_______________________________________________</a><br class="">
Snort-sigs mailing list<br class="">
Snort-sigs@lists.sourceforge.net<br class="">
https://lists.sourceforge.net/lists/listinfo/snort-sigs<br class="">
http://www.snort.org<br class="">
<br class="">
<br class="">
Please visit http://blog.snort.org for the latest news about Snort!</div>
</blockquote>
</div>
<br class="">
</div>
</div>
</body>
</html>