What version of Snort are you using?  The latest version has event_filters that may do exactly what you want.  Check out the README.filters for more.<br><br>
<div class="gmail_quote">On Fri, Mar 19, 2010 at 2:43 AM, Nerijus Krukauskas <span dir="ltr"><<a href="mailto:nkrukauskas@...11827...">nkrukauskas@...11827...</a>></span> wrote:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Hi,<br>
<div class="im"><br>On 2010-03-19, James Lay <<a href="mailto:jlay@...843.....13475...">jlay@...13475...</a>> wrote:<br>> I took a good solid read of the README for sfportscan, but at the end of the<br>> day it seems that Iım left with only a couple options of ignore_scanners,<br>
> and ignore_scanned.  Am I reading something wrong?  These seem pretty binary<br>> to me....unless thereıs a more granular level of control that Iım missing.<br><br></div>You're not alone with this kind of feeling. I have it too. And I'm<br>
ignoring much of the portscan alerts, unless the statistical alert<br>picture changes.<br><font color="#888888"><br>--<br><a href="http://nk99.org/" target="_blank">http://nk99.org/</a><br></font>
<div>
<div></div>
<div class="h5"><br>------------------------------------------------------------------------------<br>Download Intel&#174; Parallel Studio Eval<br>Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>See why Intel Parallel Studio got high marks during beta.<br><a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...8192...sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users</a> list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></div>
</div></blockquote></div><br>