<div>Make a subdirectory under base called rules and copy the rule files from snort to there.  A link will appear with the other references in the analysis views in base called rules.  This will show you the text of the rule that triggered the alert.</div>

<div> </div>
<div><br><br> </div>
<div class="gmail_quote">On Wed, Nov 18, 2009 at 9:47 AM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935...">jesler@...1935...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div class="im">On Tue, Nov 17, 2009 at 9:36 PM, Jefferson, Shawn <span dir="ltr"><<a href="mailto:Shawn.Jefferson@...14448..." target="_blank">Shawn.Jefferson@...14448...</a>></span> wrote:<br></div>
<div class="gmail_quote">
<div class="im">
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">What do you mean exactly?  Base already has two methods of bringing up rule details.  There is a link to the rules .txt file and also you can link to the rule itself (actually you copy the rules into a directory that the base config points to).  This second method seems to do a grep and returns the full rule text when you click on [rule].  Is that what you wanted?<br>

<div><br></div></blockquote>
<div><br></div></div>
<div>I think he means, when you bring up an alert, just have the rule text, right there for display in the screen.</div>
<div>
<div></div>
<div class="h5">
<div><br></div>
<div>J</div>
<div><br></div>
<div> </div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div><br>----- Original Message -----<br>From: firewalZ <<a href="mailto:firewalz@...11827..." target="_blank">firewalz@...11827...</a>><br>To: <a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a> <<a href="mailto:Snort-users@...3204...ts.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a>><br>
Sent: Mon Nov 16 15:20:00 2009<br>Subject: [Snort-users] BASE rule display<br><br>Im a bit new to Snort/Base and Im wondering if there a way to get BASE<br>to display the full text of a rule that fires an alert, this would<br>
really help the learning process.<br><br></div>Thanks<br>
<div>
<div></div>
<div><br>------------------------------------------------------------------------------<br>Let Crystal Reports handle the reporting - Free Crystal Reports 2008 30-Day<br>trial. Simplify your report design, integration and deployment - and focus on<br>
what you do best, core application coding. Discover what's new with<br>Crystal Reports now.  <a href="http://p.sf.net/sfu/bobj-july" target="_blank">http://p.sf.net/sfu/bobj-july</a><br>_______________________________________________<br>
Snort-users mailing list<br><a href="mailto:Snort-users@...5870....net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>------------------------------------------------------------------------------<br>
Let Crystal Reports handle the reporting - Free Crystal Reports 2008 30-Day<br>trial. Simplify your report design, integration and deployment - and focus on<br>what you do best, core application coding. Discover what's new with<br>
Crystal Reports now.  <a href="http://p.sf.net/sfu/bobj-july" target="_blank">http://p.sf.net/sfu/bobj-july</a><br>_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@...5870....net</a><br>
Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></div></div></blockquote></div></div></div><br><br clear="all">
<div>
<div></div>
<div class="h5"><br>-- <br>Joel Esler | 302-223-5974 | gtalk: <a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a><br></div></div><br>------------------------------------------------------------------------------<br>
Let Crystal Reports handle the reporting - Free Crystal Reports 2008 30-Day<br>trial. Simplify your report design, integration and deployment - and focus on<br>what you do best, core application coding. Discover what's new with<br>
Crystal Reports now.  <a href="http://p.sf.net/sfu/bobj-july" target="_blank">http://p.sf.net/sfu/bobj-july</a><br>_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br>