<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Hello,<div><br></div><div>I am currently writing a rather basic rule to track 404 resource not found instances in Snort on a web server.  While I am aware that the logs for the web server process themselves track this, Id like to generate a Snort rule that does the same for some testing.</div><div><br></div><div>Currently my rule is:</div><div><br></div><div><span class="Apple-tab-span" style="white-space:pre">        </span><font face="Courier">alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS \</font></div><font face="Courier">        <span class="Apple-tab-span" style="white-space:pre">    </span>(msg: "Web resource not found"; flow:established,to_server; content:"404"; http_stat_code; priority:4; sid:2000110; rev:001;)</font><div><br></div><div>I have used the http_stat_code modifier for the content, but when I attempt to locate a non-existent resource:</div><div><br></div><div><span class="Apple-tab-span" style="white-space:pre">       </span><a href="http://mywebserver.com/notthere">http://mywebserver.com/notthere</a></div><div><br></div><div>the rule does not fire.</div><div><br></div><div>I was wondering what I am missing.</div><div><br></div><div>Thanks</div></body></html>