<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><div>P.S.: Please reply to the entire list so everyone can benefit/participate, and not only to the person who replied to your request.</div><div><br></div>If I am understanding your request right, then there are several preprocessors through which the packet stream passes through before it hits the detection engine (I guess?, logically speaking). For example, packet decoders and the reputation preprocessor get to process packets before the detection engine. However, these preprocessors also have rules (text or SO rules) and will log certain traffic anomalies (rules) or when a blacklisted IP is matched by the reputation preprocessor, respectively. My understanding is that these preprocessors will output directly to the output plugin, as opposed to "consulting" with the detection engine before the actual output is made.<div><br></div><div>YM<br><div><br><div><hr id="stopSpelling">Date: Mon, 12 May 2014 18:48:42 -0400<br>Subject: RE: [Snort-users] Snort searching algorithm<br>From: bontupalliv1@...16841...<br>To: snort@...15979...<br><br>Thanks for the reply...<BR>
Is there a possibility to log the preprocessor data before it hits the detection engine..<BR>
If so what can be the code/conf changes<BR>
<div class="ecxgmail_quote">On May 9, 2014 4:25 PM, "Y M" <<a href="mailto:snort@...15979...">snort@...15979...</a>> wrote:<br><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;">



<div><div dir="ltr">From the documentation: <a href="http://manual.snort.org/node16.html#SECTION00313000000000000000" target="_blank">http://manual.snort.org/node16.html#SECTION00313000000000000000</a>. Look for "<span style="font-family:monospace;"><font size="3">config detection: [search-method <method>]</font></span><span style="font-size:12pt;font-family:monospace;">"</span>, this should help.<div>
<br></div><div>YM<br><br><div><hr>Date: Fri, 9 May 2014 14:32:27 -0400<br>From: <a href="mailto:bontupalliv1@...16841..." target="_blank">bontupalliv1@...16841...</a><br>To: <a href="mailto:snort-users@...5870....net" target="_blank">snort-users@lists.sourceforge.net</a><br>
Subject: [Snort-users] Snort searching algorithm<br><br>Dear snort users,<br>
Could anyone please tell me what pattern matching algorithm(s) snort use in detection engine for detecting malicious packet content against its rules content.<br>
<br>
<br>------------------------------------------------------------------------------
Is your legacy SCM system holding you back? Join Perforce May 7 to find out:
 3 signs your SCM is hindering your productivity
 Requirements for releasing software faster
 Expert tips and advice for migrating your SCM now
<a href="http://p.sf.net/sfu/perforce" target="_blank">http://p.sf.net/sfu/perforce</a><br>_______________________________________________
Snort-users mailing list
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users</a> list archive:
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>

Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</div></div>                                      </div></div>
</blockquote></div></div></div></div>                                       </div></body>
</html>