<div dir="ltr">I am using Suricata with the latest version of Security Onion (12.04), which uses Suricata 1.3.3.  I have threshold.conf with 18 entries.  I have verified that Suricata loaded those 18 rules on startup ("Threshold config parsed: 18 rule(s) found")<p>

</p><div>But I still get alerts firing for these entries... For example, in my threshold.conf:</div><div><br></div><div><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">

#Suppress - ET CNC Shadowserver Reported CnC Server IP (group 38) <span style="color:rgb(85,85,85)"> for  SOSERVER- False Positive -<span style="color:rgb(71,71,71)"> 12/12</span></span></p><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">

<span style="color:rgb(71,71,71)"> </span>suppress gen_id 1, sig_id <span style="color:rgb(71,71,71)">2404037</span>, track by_dst, ip 72.8.140.222</p><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">

I restart Suricata, and I still get this alert firing for the dst IP of 72.8.140.222.</p><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">
What should I tshoot next?</p><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">Thanks</p><p style="font-size:13px;line-height:17.33333396911621px;color:rgb(51,51,51);background-image:none;padding:0px;margin-bottom:10px;font-family:Arial,Helvetica,FreeSans,sans-serif">
-Josh</p></div></div>