<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Hi Duane,<br>
    <br>
    This is done intentionally. If it's a preprocessor or decoder rule,
    the message we want to use is the one that was in snort, not what is
    in the message of the rule, which will be generic if the rule was
    not autogenerated and potentially wrong if it was.<br>
    <br>
    Best,<br>
    Hui.<br>
    <br>
    <div class="moz-cite-prefix">On 07/17/2014 01:24 PM, Duane Howard
      wrote:<br>
    </div>
    <blockquote
cite="mid:CAH9u3cuQ0K+42BU-5Mjx+Ju-xDVQDCLTxjt+fctZ0p5XjbW9Sw@...11828..."
      type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=ISO-8859-1">
      <div dir="ltr">
        <div>Hey all, I've enabled alerting for blacklisted events using
          the reputation preprocessor, but alerts continue to use the
          message defined in:</div>
        spp_reputation.h<br>
        <div><br>
        </div>
        <div>Instead of anything found in gen-msg.map or preproc.rules.</div>
        <div><br>
        </div>
        <div>Is there a way to override the message that's sent when
          writing fast or unified2 alerts? We do some custom processing
          and I'd like to be able to modify this a bit for our specific
          use case.</div>
        <div><br>
        </div>
        <div>examples:</div>
        <div>spp_reputation.h:</div>
        <div>#define REPUTATION_EVENT_BLACKLIST_STR    
          "(spp_reputation) packets blacklisted"<br>
        </div>
        <div><br>
        </div>
        <div>gen-msg.map:</div>
        <div>136 || 1 || reputation: Packet is blacklisted<br>
        </div>
        <div><br>
        </div>
        <div>preproc.rules:</div>
        <div>alert ( msg: "REPUTATION_EVENT_BLACKLIST"; sid: 1; gid:
          136; rev: 1; metadata: rule-type preproc ;
          tag:session,60,seconds; classtype:bad-unknown; )<br>
        </div>
        <div>
          <br>
        </div>
        <div>Actual alert resulting:</div>
        <div>07/14-02:51:30.229493  [**] [136:1:1] (spp_reputation)
          packets blacklisted [**] [Classification: Potentially Bad
          Traffic] [Priority: 2] {TCP} XXX.XXX.XXX.XXX:XXXX ->
          XXX.XXX.XXX.XXX:XXX<br>
        </div>
        <div><br>
        </div>
        <div>I'd like to change "(spp_reputation) packets blacklisted"
          without needing to recompile, etc.</div>
        <div><br>
        </div>
        <div>Thanks,</div>
        <div>Duane</div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">------------------------------------------------------------------------------
Want fast and easy access to all the code in your enterprise? Index and
search up to 200,000 lines of code with a free copy of Black Duck
Code Sight - the same software that powers the world's largest code
search on Ohloh, the Black Duck Open Hub! Try it now.
<a class="moz-txt-link-freetext" href="http://p.sf.net/sfu/bds">http://p.sf.net/sfu/bds</a></pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Snort-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a class="moz-txt-link-freetext" href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
Snort-users list archive:
<a class="moz-txt-link-freetext" href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>

Please visit <a class="moz-txt-link-freetext" href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</pre>
    </blockquote>
    <br>
  </body>
</html>