<br><br><div class="gmail_quote">On Wed, Aug 4, 2010 at 8:04 AM, Jason Wallace <span dir="ltr"><<a href="mailto:jason.r.wallace@...11827...">jason.r.wallace@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
If you want to limit/suppress this alert for a single host or network,<br>
then take a look at your gen-msg.map. That will give you the GID and<br>
the SID of the preprocessor alert. You can use that information to<br>
create a threshold or suppression statement. If you do not want to<br>
ever see the alert for any host look in preprocessor.rules and disable<br>
the rule.<br>
<br>
Wally<br>
<div><div></div><div class="h5"><br>
On Wed, Aug 4, 2010 at 5:30 AM, ll <<a href="mailto:ibeginhere@...13610...7...">ibeginhere@...11827...</a>> wrote:<br>
> hi,all<br>
> the preprocess create too many alerts. for example "stream5: Limit on<br>
> number of overlapping TCP packets reached".whether I disabled the<br>
> preprocessor stream5 or some way can disabled there alerts ? which will<br>
> be better ? and if I want to disabled some alerts created by the<br>
> preprocessor when I know the the preprocessor SID,how to do that .I just<br>
> know how to disabled the rules when I know the rules SID.<br>
><br>
><br></div></div></blockquote><div>And it *almost* goes without saying that you shouldn't disable stream5, because much of Snort's detection functionality requires that.<br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><div class="h5">
> ------------------------------------------------------------------------------<br>
> The Palm PDK Hot Apps Program offers developers who use the<br>
> Plug-In Development Kit to bring their C/C++ apps to Palm for a share<br>
> of $1 Million in cash or HP Products. Visit us here for more details:<br>
> <a href="http://p.sf.net/sfu/dev2dev-palm" target="_blank">http://p.sf.net/sfu/dev2dev-palm</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
<br>
------------------------------------------------------------------------------<br>
The Palm PDK Hot Apps Program offers developers who use the<br>
Plug-In Development Kit to bring their C/C++ apps to Palm for a share<br>
of $1 Million in cash or HP Products. Visit us here for more details:<br>
<a href="http://p.sf.net/sfu/dev2dev-palm" target="_blank">http://p.sf.net/sfu/dev2dev-palm</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</div></div></blockquote></div><br>