<div dir="ltr">Andreas, <div><br></div><div>Thanks for your quick reply! <br><br>I am running my own ruleset (emerging-threats' current_events.rules, exploit.rules, malware.rules, mobile_malware.rules, scan.rules, trojan.rules, and worm.rules). So no, the default files are not active, and that named alert is not present. </div><div><br></div><div>What I find completely baffling is the generator id of 2. I thought that suricata default all alerts to 1, unless the gid modifier was present in a rule (a quick grep shows that it is not). </div><div><br></div><div>Suricata is running inline as a detection engine on the edge of my network. It's version is below</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><font face="monospace, monospace"># suricata -V<br></font><font face="monospace, monospace">This is Suricata version 3.0.2 RELEASE</font></blockquote><div><br></div><div>I'm currently unable to reproduce it with a pcap. I am less interested in the traffic that caused the alert than I am in discovering where the rule's source came from / is. <br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Sincerely,</div><div class="gmail_extra">Shane Boissevain</div></div>