<div>Could you provide your entire threshold configuration?</div><div><br></div><div>Thanks</div><div><br></div><br><div class="gmail_quote">On Fri, Aug 24, 2012 at 6:50 AM, James Davis <span dir="ltr"><<a href="mailto:james.davis@...15783..." target="_blank">james.davis@...15783...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA256<br>
<br>
Running 2.9.3.1<br>
<br>
I'd like to suppress a lot of alerts created by some generators, in<br>
particular although I want the functionality of the http_inspect<br>
preprocessor I'm not interested in the alerts it raises.<br>
<br>
In my threshold.conf I have:<br>
<br>
suppress gen_id 120, sig_id 1<br>
suppress gen_id 120, sig_id 2<br>
suppress gen_id 120, sig_id ...<br>
<br>
but if I replace this with<br>
<br>
suppress gen_id 120, sig_id 0<br>
<br>
as documented at <a href="http://manual.snort.org/node19.html" target="_blank">http://manual.snort.org/node19.html</a> snort refuses to<br>
start with the following error<br>
<br>
"ERROR: threshold.conf(74) suppress could not be created"<br>
<br>
Has this feature been removed?<br>
<br>
James<br>
<br>
- --<br>
James Davis                0300 999 2340 <a href="tel:%28%2B44%201235%20822340" value="+441235822340">(+44 1235 822340</a>)<br>
Senior CSIRT Member<br>
Lumen House, Library Avenue, Didcot, Oxfordshire, OX11 0SG<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.11 (Darwin)<br>
Comment: Using GnuPG with Mozilla - <a href="http://enigmail.mozdev.org/" target="_blank">http://enigmail.mozdev.org/</a><br>
<br>
iF4EAREIAAYFAlA3XGQACgkQjsS2Y6D6yLxuhwD+Ocokjkbn2m8VoUt161wKvqcu<br>
UVmwK37S03DScmDyQ0YA/2Gvr94A5YLIYuYP3F/oj2AohjPQI+5re1D8OUDcMxtL<br>
=nMjI<br>
-----END PGP SIGNATURE-----<br>
<br>
Janet is a trading name of The JNT Association, a company limited<br>
by guarantee which is registered in England under No. 2881024<br>
and whose Registered Office is at Lumen House, Library Avenue,<br>
Harwell Oxford, Didcot, Oxfordshire. OX11 0SG<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br>