<div dir="ltr">Ok, many thanks Jason for your help.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 12, 2018 at 7:50 AM, Jason Ish <span dir="ltr"><<a href="mailto:ish@unx.ca" target="_blank">ish@unx.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 2018-04-11 at 15:54 +0200, C. L. Martinez wrote:<br>
><br>
>  As you can see I have specified out directory with " -o<br>
> /opt/suricata/ids01/rules" option, but suricata-update returns:<br>
><br>
> 11/4/2018 -- 13:40:43 - <Warning> -- Distribution rule directory not<br>
> found: /etc/suricata/rules<br>
><br>
>  Any idea why?<br>
<br>
There are some rules that only ship with Suricata. The RPMs, Debs and<br>
some other packages may install these by default to<br>
/etc/suricata/rules, these are the rules that are found in the "rules"<br>
directory in the Suricata source tree.<br>
<br>
Suricata-update tries to be smart and pull these in if they exist,<br>
which they probably won't when running on a machine without Suricata<br>
installed. What you could do is extract these rules from the Suricata<br>
release tarball and point Suricata-update at them with the --local<br>
parameter. You'll still get the warning, but they will be included.<br>
<br>
One thing we may want to look at doing is hosting these rules online to<br>
 make it just work even if Suricata is not installed locally.<br>
<br>
Hope that helps,<br>
Jason<br>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a></blockquote></div><br></div>