Estoy intentando detectar una cadena en HTML (ya descomprimida) con Snort. Configuré esta regla para encontrar el contenido 7038685658
en el HTML de mi servidor web Apache:
alert tcp any any <> any any (msg:"cell"; file_data; content:"7038685658"; sid:9000001)
Esta es la ubicación donde se encuentra el contenido:
Pero no puedo detectar ninguna alerta de Snort. ¿Qué estoy haciendo mal?