<div dir="ltr"><div style="font-size:12.8px">to the list this time:</div><div dir="ltr" style="font-size:12.8px">Use sig_id 0 which should limit be 'all of them'.<div><a href="https://github.com/inliniac/suricata/blob/master/threshold.config#L23" target="_blank">https://github.com/inliniac/<wbr>suricata/blob/master/<wbr>threshold.config#L23</a><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 21, 2016 at 10:32 AM, Josh Guild <span dir="ltr"><<a href="mailto:josh.guild@morphick.com" target="_blank">josh.guild@morphick.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Hi all!<br><br></div>I think the answer to this is "no" but I wanted to reach out before I closed the loop. <br><br></div>Is there a way to globally threshold all rules in Suricata via the threshold.config? <br>For example, I don't want a rule to fire more than 1 time in an hour for the same IP (e.g. threshold gen_id 1, sig_id ALL OF THEM, type limit, track by_src, count 1, seconds 3600). <br>It appears this available in Snort but not Suricata.<br></div><br></div>Please let me know if I have the right info or have been grossly misinformed by my Google searches. Thanks!<span class="HOEnZb"><font color="#888888"><br clear="all"><div><div><div><div><div><br>-- <br><div class="m_6079623458956283005gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="font-family:arial,helvetica,sans-serif"><font size="4">Josh Guild</font></span><div>Network Intelligence Analyst<br> <a href="https://twitter.com/stay_spooky" target="_blank"><img alt="" src="https://docs.google.com/uc?export=download&id=0B5E885OFUaavTGZrN3ppUmM1eTA&revid=0B5E885OFUaavUkdXL0Jwd0FpYkt5SWZaMFFHQ0k0enRCR2dzPQ" width="32" height="32"></a><a href="https://keybase.io/joshuaguild" target="_blank"><img alt="" src="https://docs.google.com/uc?export=download&id=0B5E885OFUaavLXUtdDdUWGVFLUk&revid=0B5E885OFUaavejhCeEpKSUZyMmRmYTh4K2MyMHI0WklTZXRJPQ" width="32" height="32"> </a><br><br></div></div></div></div></div>
</div></div></div></div></div></font></span></div>
<br>______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 9-11 in Washington, DC: <a href="http://suricon.net" rel="noreferrer" target="_blank">http://suricon.net</a><br></blockquote></div><br></div>