<div dir="ltr">Thanks WKitty42 for the quick response.<div>For some reason, I didn't get the reply in my inbox, was surfing the internet and got to read there.</div><div><br></div><div>I don't see any error logging in the snort log file, I think I have to enable the debugging mode for the same.</div><div><br></div><div>We are running snort in production, and daily the updated list of the ruled get pulled by pulledpork, so even if I comment the rules out in the original .rules file, it will get updated with the un-commented version next morning .</div><div><br></div><div>I think I will go with the option of disabling the sid using disablesid.conf file and then editing the original rule in local.rules file with new sids.</div><div>Thank you for the suggestion, but I feel that if we can't define stand-alone event_filters for the rules we want (just because rules already have threshold defined in them), it forfeits the whole purpose of introducing the stand-alone event_filter feature :( (Yes, it can be useful as global filters, but not for fine-grained control over specific rules)</div><div><br></div><div>Thanks!</div><div><br></div><div>Fatema.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 25, 2016 at 11:30 AM, fatema bannatwala <span dir="ltr"><<a href="mailto:fatema.bannatwala@...11827..." target="_blank">fatema.bannatwala@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>I am a new snort user, and started looking at some alerts. I wanted to customize the rules threshold by defining stand-alone event_filter in threshold.config file for specific gid and sid.</div><div><br></div><div>I realized that after doing that, snort doesn't start and when I disable those event_filters in threshold.config , snort will start normally.</div><div>After looking into the original rule in .rules files pulled by pulledpork, I noticed that the rules that I was trying to write event_filter for, have in-rule threshold command limiting the logged alerts.</div><div>When I read the documentation, it doesn't say anything about "you can't specify event_filters for the rules that already have "threshold command" defined inside the rules".</div><div>And I think that's the problem and that's why snort fails to start when I try to define stand-alone event filters for the rules having threshold defined inside the rules.</div><div><br></div><div>So I wanted to ask that what's the correct way to limit some rules alerts that already have threshold defined in them? (I have many rules for which I would really like to define event_filters to limit the logged alerts, but am not able to do that).</div><div><br></div><div>I apologize if this is already been discussed in some other thread (any pointer to the same would be appreciated).</div><div>Thanks in advance.</div><div><br></div><div>Thanks,</div><div>Fatema.</div><div><br></div></div>
</blockquote></div><br></div>