<HTML><HEAD><TITLE></TITLE>
<META name=GENERATOR 
content="KsDHTMLEDLib.ocx, FreeWare HTML Editor 1.164.2, ?Kurt Senfer">
<META content="text/html; charset=GB2312" http-equiv=Content-Type></HEAD>
<BODY style="FONT-FAMILY: Consolas; FONT-SIZE: 9pt" leftMargin=5 topMargin=5 
#ffffff>
<DIV>Hello,</DIV>
<DIV> </DIV>
<DIV>I am trying to make suricata-1.0.4 work. I simply wrote a test rule file: 
sig.rules. It has only one line and one rule:</DIV>
<DIV>alert icmp any any -> $HOME_NET any (msg:"ICMP test"; classtype: 
unknown; sid:10000001;) </DIV>
<DIV> </DIV>
<DIV>When I run it in in IPS mode:</DIV>
<DIV>suricata -s sig.rules -q 0</DIV>
<DIV> </DIV>
<DIV>There is error message showing the signature rule failed to be 
compiled:</DIV>
<DIV> </DIV>
<DIV>[17915] 1/7/2011 -- 04:10:30 - (detect.c:366) <Info> 
(SigLoadSignatures) -- Loading rule file: sig.rules<BR>[17915] 1/7/2011 -- 
04:10:30 - (detect.c:307) <Error> (DetectLoadSigFile) -- [ERRCODE: 
SC_ERR_INVALID_SIGNATURE(39)] - Error parsing signature "alert icmp any any 
-> $HOME_NET any (msg:"ICMP test"; classtype: unknown; sid:10000001;) " from 
file sig.rules at line 1<BR>[17915] 1/7/2011 -- 04:10:30 - (detect.c:372) 
<Error> (SigLoadSignatures) -- [ERRCODE: SC_ERR_NO_RULES(42)] - No rules 
loaded from sig.rules<BR>[17915] 1/7/2011 -- 04:10:30 - (detect.c:392) 
<Info> (SigLoadSignatures) -- 2 rule files processed. 1 rules succesfully 
loaded, 1 rules failed<BR>[17915] 1/7/2011 -- 04:10:30 - 
(detect-engine-sigorder.c:840) <Info> (SCSigOrderSignatures) -- ordering 
signatures in memory<BR>SCSigOrderSignatures: Total Signatures to be processed 
by thesigordering module: 1<BR>[17915] 1/7/2011 -- 04:10:30 - 
(detect-engine-sigorder.c:883) <Info> (SCSigOrderSignatures) -- total 
signatures reordered by the sigordering module: 1<BR>[17915] 1/7/2011 -- 
04:10:30 - (detect.c:1512) <Info> (SigAddressPrepareStage1) -- 1 
signatures processed. 1 are IP-only rules, 0 are inspecting packet payload, 0 
inspect application layer, 0 are decoder event only<BR>[17915] 1/7/2011 -- 
04:10:30 - (detect.c:1515) <Info> (SigAddressPrepareStage1) -- building 
signature grouping structure, stage 1: adding signatures to signature source 
addresses... done</DIV>
<DIV> </DIV>
<DIV>I tried other rules too. None of them suceeded. Please help me about it. 
</DIV>
<DIV> </DIV>
<DIV>My os is Debian Squeeze 32-bit.</DIV>
<DIV> </DIV>
<DIV>Thanks so much for your help.</DIV>
<DIV> </DIV>
<DIV>Jankins</DIV></BODY></HTML>