<div dir="ltr"><div><div><div>Hi,<br><br></div>in my opinion the snort manual (we are talking about <a href="http://manual.snort.org">manual.snort.org</a>) focuses<br></div>on the technical details and does not provide a context of why snort does what it does. I can recommend two books that provide some context:<br>- <a href="https://www.amazon.com/Applied-Network-Security-Monitoring-Collection/dp/0124172083">https://www.amazon.com/Applied-Network-Security-Monitoring-Collection/dp/0124172083</a> - short, less technical, a good place to start<br>- <a href="https://www.amazon.com/Snort-Toolkit-Beales-Source-Security/dp/1597490997">https://www.amazon.com/Snort-Toolkit-Beales-Source-Security/dp/1597490997</a> - long, very old, but provides a lot of context and funny statements like<br>"The actual code that parses the various options within Snort is scattered throughout the code base" on page 177 of the 2007 edition, or a mention of snort 3.0 on page 179!<br></div><div><br></div><div>It's pretty outrageous that such a fundamental field as network monitoring is still considered an art and there are no readily available materials.<br><br></div><div>Marcin<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Dec 1, 2016 at 7:23 PM, Justin Pederson <span dir="ltr"><<a href="mailto:jpedersm@...11827..." target="_blank">jpedersm@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I'm just getting into snort.  While there is allot of information out there on snort, allot of it is not strait forward.  If I am looking for a book to get up to speed on they system.  By chance does anyone know of any good books to read? </div>
<br>------------------------------<wbr>------------------------------<wbr>------------------<br>
<br>______________________________<wbr>_________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...3783...<wbr>net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" rel="noreferrer" target="_blank">http://sourceforge.net/<wbr>mailarchive/forum.php?forum_<wbr>name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>