<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7226.0">
<TITLE>Snort 2.2.0 ruletype not working</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/rtf format -->

<P><FONT SIZE=2 FACE="Arial">Hi,</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">I am unsuccessfully trying to get the ruletype method to work as follows:</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">ruletype auditlog</FONT>

<BR><FONT SIZE=2 FACE="Arial">{</FONT>

<BR><FONT SIZE=2 FACE="Arial">  type alert</FONT>

<BR><FONT SIZE=2 FACE="Arial">  output alert_syslog:  LOG_AUTH LOG_INFO</FONT>

<BR><FONT SIZE=2 FACE="Arial">  output log_null</FONT>

<BR><FONT SIZE=2 FACE="Arial">}</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">auditlog icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING *NIX"; itype:8; content:"|10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F|"; depth:32;)</FONT></P>

<P><FONT SIZE=2 FACE="Arial">I have disabled the corresponding alert rule in the icmp-info.rules file.  If I reenable the rule in the icmp-info.rules file it is picked up as an alert (as expected).  If I disable in icmp-info.rules and enable in local.rules no log is generated.</FONT></P>

<P><FONT SIZE=2 FACE="Arial">Is this a bug, as I cannot make any of the output plugins work within ruletype.</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Regards,</FONT>

<BR><FONT SIZE=2 FACE="Arial">Don</FONT>
</P>

</BODY>
</HTML>