次のルールがコンテンツ「unescape」を検出しない理由がわかりません。
alert tcp any any -> any any (msg:"example 1";flow:to_client,established;file_data;content:"unescape";sid:20001)
次の作業中:
alert tcp any any -> any any (msg:"example 1";flow:to_client,established;file_data;content:"<script>";sid:20001)
Snort は script タグ内のコンテンツを検出しないようです。どうもありがとうございました。