<br><font size=2 face="sans-serif">Thanks for the feedback.  However,
the problem isn't with how I change the rule, it's the fact that the updated
priority isn't taking effect.</font>
<br>
<br><font size=2 face="sans-serif">In my oinkmaster.conf, I added the line:</font>
<br><font size=2 face="sans-serif">modifysid 2466 "classtype:protocol-command-decode;"
| "classtype:protocol-command-decode; priority:2;"</font>
<br>
<br><font size=2 face="sans-serif">That successfully updates the rule,
but the priority is still coming through as the default (3).</font>
<br>
<br><font size=2 face="sans-serif">Thanks again, oinkmaster is great ;)</font>
<br>
<br><font size=2 face="sans-serif">Christina</font>
<br>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>Andreas Ístling <andreaso@...236...></b>
</font>
<p><font size=1 face="sans-serif">02/21/2006 05:30 PM</font>
<td width=59%>
<table width=100%>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td><font size=1 face="sans-serif">Christina McAghon <cmcaghon@...7093...708...></font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td><font size=1 face="sans-serif">snort-users@lists.sourceforge.net</font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td><font size=1 face="sans-serif">Re: [Snort-users] modifying priority
on certain rules</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><font size=2><tt><br>
On Tue, 21 Feb 2006, Christina McAghon wrote:<br>
<br>
> I am running snort v2.3.3.  I would like to change the priority
of a few<br>
> certain rules (without affecting the default classification.config<br>
> priority).  I thought I could achieve this by copying the rule
from its<br>
> rule file into local.rules.  In local.rules, I added the priority<br>
> classification.  Here's an example:<br>
<br>
I think that's generally a bad way to customize rules unless you're <br>
careful. Moving a rule into local.rules usually means it will be <br>
forgotten and stay there untouched forever, i.e. if the official <br>
version of it gets updated, you would still have the old one.<br>
<br>
Now some shameless plugs...<br>
I would use the "modifysid" function in Oinkmaster <br>
(http://oinkmaster.sf.net/) to customize the rules instead. This way you
<br>
can continue to use the latest and greatest rules automatically while <br>
still being able to tweak them, like changing the priority.<br>
I tried to document these things in the Oinkmaster FAQ (Q21).<br>
<br>
By the way, if you really ment Snort 2.3.3, you should upgrade to <br>
2.4.3 ASAP. See the warning at http://www.snort.org/dl/old/ if you <br>
don't believe me.<br>
<br>
/Andreas<br>
</tt></font>
<br>