threshold: fixed example rules to match description

author Thomas Norheim <thomas.norheim@gmail.com>

Fri, 3 Sep 2021 09:21:45 +0000 (11:21 +0200)

committer Victor Julien <vjulien@oisf.net>

Wed, 10 May 2023 09:00:29 +0000 (11:00 +0200)
author Thomas Norheim <thomas.norheim@gmail.com>
Fri, 3 Sep 2021 09:21:45 +0000 (11:21 +0200)
committer Victor Julien <vjulien@oisf.net>
Wed, 10 May 2023 09:00:29 +0000 (11:00 +0200)
diff --git a/threshold.config b/threshold.config

index bde364fd036621830ab0694b8ca5de1185b78f6f..bb992b6ee767a28d9710eeabc89d092d2e44d4d3 100644 (file)
--- a/threshold.config
+++ b/threshold.config
@@ -20,10 +20,10 @@
  # https://suricata.readthedocs.io/en/latest/configuration/global-thresholds.html#global-thresholds-vs-rule-thresholds
  
  # Limit to 10 alerts every 10 seconds for each source host
-#threshold gen_id 0, sig_id 0, type threshold, track by_src, count 10, seconds 10
+#threshold gen_id 0, sig_id 0, type limit, track by_src, count 10, seconds 10
  
-# Limit to 1 alert every 10 seconds for signature with sid 2404000
-#threshold gen_id 1, sig_id 2404000, type threshold, track by_dst, count 1, seconds 10
+# Limit to 1 alert every 10 seconds for signature with sid 2404000 per destination host
+#threshold gen_id 1, sig_id 2404000, type limit, track by_dst, count 1, seconds 10
  
  # Avoid to alert on f-secure update
  # Example taken from https://blog.inliniac.net/2012/03/07/f-secure-av-updates-and-suricata-ips/
author	Thomas Norheim <thomas.norheim@gmail.com>
	Fri, 3 Sep 2021 09:21:45 +0000 (11:21 +0200)
committer	Victor Julien <vjulien@oisf.net>
	Wed, 10 May 2023 09:00:29 +0000 (11:00 +0200)