Règles

alert tcp any any -> 192.168.1.0/24 110 (content:"|USER|"; msg: "Authentification POP3";)

Une alerte est composée d'une en-tête et de paramètres (entre parenthèses). 
Dans ce cas, snort génère une alerte si une session TCP en destination du
réseau 192.168.1.0/24 sur le port 110 (POP3) et contenant dans le payload
"USER". Alert est une méthode générale qui logge complétement le paquet
(payload, flags, ...). Il est possible de configuer des sorties
spécifiques (cf. Interfaçage).