<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<style>
<!--
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:Arial;
        color:windowtext;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>I’m running Snort 2.2.0 and I am getting an overflow
of HTTP_Inspect alerts. I’ve looked through the Doc’s and google to
see how to set up the http_inspect Preprocessor for my HTTP Servers. However,
most if not all of the alerts that are being generated are coming from External
sources to Non-http computers. Everything I read more or less instructs you on
how to turn off the preprocessor or get it to quiet the alerts by removing all
of its functionality. What I would like to do is continue to use this
preprocessor but I would appreciate some help on making sure it is configured
correctly. Is there any way to get this preprocessor to quiet down or is this
considered to be normal activity. My thoughts are that I configure all of my
servers with their own instance of the http_inspect preprocessor then set the
default to No-alerts. Is this correct? That way I should only see traffic that’s
on my http servers and not on anything else. Or do I have that completely backwards?
Do I configure all of my servers to no alerts and alert on the default? Any
help would be greatly appreciated.  </span></font><o:p></o:p></p>

</div>

</body>

</html>