<div dir="ltr">I am using Suricata with the latest version of Security Onion (12.04), which uses Suricata 1.3.3.  I have threshold.conf with 18 entries.  I have verified that Suricata loaded those 18 rules on startup ("Threshold config parsed: 18 rule(s) found")<br>
<div class="gmail_quote"><div dir="ltr"><p>

</p><div>But I still get alerts firing for these entries... For example, in my threshold.conf:</div><div><br></div><div><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">


#Suppress - ET CNC Shadowserver Reported CnC Server IP (group 38) <span style="color:rgb(85,85,85)"> for  SOSERVER- False Positive -<span style="color:rgb(71,71,71)"> 12/12</span></span></p><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">


<span style="color:rgb(71,71,71)"> </span>suppress gen_id 1, sig_id <span style="color:rgb(71,71,71)">2404037</span>, track by_dst, ip 72.8.140.222</p><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">


I restart Suricata, and I still get this alert firing for the dst IP of 72.8.140.222.</p><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">

What should I tshoot next?</p><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">Thanks</p><span class="HOEnZb"><font color="#888888"><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">

-Josh</p></font></span></div></div>
</div><br></div>