Ok. It's easy enough to use sed to change the alerts to drops, but what about the next time updated rules are downloaded? I would have to change them again. I use emerging threat rules and they all appear to be alert only. Surely there is an simpler way to solve this?<br><br><br>Sent from ProtonMail mobile<br><br><br><br>-------- Original Message --------<br>On Jul 9, 2018, 1:08 PM, Andreas Herz < andi@geekosphere.org> wrote:<blockquote class="protonmail_quote"><br><html><head></head><body>On 08/07/18 at 21:58, gatodiablo@protonmail.com wrote:<br>> Alert I think. Do I need a different set of rules to run in IPS mode? I ideally want it to both alert and drop anything that matches a rule.<br><br>Yes you need to change the action keyword from 'alert' to 'drop' or it<br>won't be dropped/blocked. You will still get an "alert" message as well<br>which also mentiones the drop.<br><br>-- <br>Andreas Herz<br>_______________________________________________<br>Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org<br>Site: <a href="http://suricata-ids.org">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org">http://suricata-ids.org</a>/support/<br>List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br><br>Conference: <a href="https://suricon.net">https://suricon.net</a><br>Trainings: <a href="https://suricata-ids.org/training/">https://suricata-ids.org/training/</a></body></html></div>