Идентификация событий основана на содержимом конкретного правила для С-Терра СОВ. Идентификатор представляет собой целое число и следует после ключевого слова sid в теле правила, например:

alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"ET FTP FTP NLST command attempt without login"; flow:established,to_server; flowbits:isnotset,ET.ftp.user.login; content:!"USER"; depth:4; content:"NLST"; nocase; reference:url,www.nsftools.com/tips/RawFTP.htm; reference:url,doc.emergingthreats.net/2010737; classtype:attempted-recon; sid:2010737; rev:2;)

Т.о. идентификатор приведенного правила – 2010737.

Также, для графического интерфейса управления может быть полезна информация, указанная в поле “msg”, которая является уникальной для каждого правила. В данном случае это «ET FTP FTP NLST command attempt without login»