<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<p dir="ltr">Yes. The second rule which I mentioned  is the drop. It will not log only in case if I set it as sdrop which is silently drop where it doesn't log it. But as said earlier we aren't using sdrop. Hence the alert as well as drop are getting logged
 in the log file.</p>
<p dir="ltr">If I set the output to console it shows the drop requests and they are blocked by the Snort successfully, this is what I want it to do and its happening properly.</p>
<p dir="ltr">When I say I want to differentiate, I am fine showing it in any way. Say by showing it in different section or by getting it highlighted in a different colour or by changing its style or whichever other ways it can. Just wanted to understand how
 it can be done.</p>
<p dir="ltr">Hope this is clear enough what I need to achieve.</p>
<p dir="ltr">Regards,<br>
Anshuman</p>
<div class="quote">On 26/05/2015 7:14 pm, Glenn Forbes Fleming Larratt <gl89@...1712...> wrote:<br type="attribution">
<blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><font size="2"><span style="font-size:10pt"></span></font>
<div>Dear Anshuman,<br>
<br>
The second rule is what I thought you meant by "drop" rule. As far as I <br>
know, that second rule will *not* make an entry in you alerting or in your <br>
logfiles; it will be as if the packet had never been seen by Snort.<br>
<br>
Do you actually have both rules configured into Snort? I don't know what <br>
the behavior would be in that case.<br>
<br>
Best, -g<br>
-- <br>
Glenn Forbes Fleming Larratt<br>
Cornell University IT Security Office<br>
<br>
> Sorry missed to give an example of rule set to drop.<br>
><br>
> Here is an example-<br>
><br>
> This is a default alert rule:<br>
><br>
> alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"ET SCAN SSH BruteForce Tool with fake PUTTY version"; flow:established,to_server; content:"SSH-2.0-PUTTY"; depth:13; threshold: type limit, track by_src, count 1, seconds 30; classtype:network-scan; sid:2019876;
 rev:2;)<br>
><br>
> Same rule is configured as drop rule using pulledpork dropsid.conf which makes the alert rule to drop rule<br>
><br>
> drop tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"ET SCAN SSH BruteForce Tool with fake PUTTY version"; flow:established,to_server; content:"SSH-2.0-PUTTY"; depth:13; threshold: type limit, track by_src, count 1, seconds 30; classtype:network-scan; sid:2019876;
 rev:2;)<br>
><br>
> Regards,<br>
> Anshuman<br>
><br>
<br>
------------------------------------------------------------------------------<br>
One dashboard for servers and applications across Physical-Virtual-Cloud <br>
Widest out-of-the-box monitoring support with 50+ applications<br>
Performance metrics, stats and reports that give you Actionable Insights<br>
Deep dive visibility with transaction tracing using APM Insight.<br>
<a href="http://ad.doubleclick.net/ddm/clk/290420510;117567292;y">http://ad.doubleclick.net/ddm/clk/290420510;117567292;y</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
Snort-users@lists.sourceforge.net<br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div>
</div>
</blockquote>
</div>
<p style="line-height:10.0pt"><span style="font-size:9.0pt;font-

family:"Cambria","serif";
color:#7F7F7F;mso-themecolor:background1;mso-themeshade:128;mso-style-textfill-fill-

color:
#7F7F7F;mso-style-textfill-fill-themecolor:background1;mso-style-textfill-fill-alpha:
100.0%;mso-style-textfill-fill-colortransforms:lumm=50000">"Legal
 Disclaimer: This electronic message and all contents contain information from Cybage Software Private Limited which may be privileged, confidential, or otherwise protected from disclosure. The information is intended to be for the addressee(s) only. If you
 are not an addressee, any disclosure, copy, distribution, or use of the contents of this message is strictly prohibited. If you have received this electronic message in error please notify the sender by reply e-mail to and destroy the original message and
 all copies. Cybage has taken every reasonable precaution to minimize the risk of malicious content in the mail, but is not liable for any damage you may sustain as a result of any malicious content in this e-mail. You should carry out your own malicious content
 checks before opening the e-mail or attachment." www.cybage.com<o:p></o:p></span></p>
</body>
</html>