Quiero escribir una regla de Snort que registre todas las solicitudes HTTP donde la respuesta contiene una expresión regular específica. Cada regla que encontré solo registra el paquete que está evaluando actualmente (que sería la respuesta en mi caso), no un paquete anterior en la transmisión.
¿Es esto posible con Snort?