Классификация событий основана на содержимом конкретного правила для С-Терра СОВ. Класс события представляет собой строку и следует после ключевого слова classtype в теле правила, например:

alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"ET FTP FTP NLST command attempt without login"; flow:established,to_server; flowbits:isnotset,ET.ftp.user.login; content:!"USER"; depth:4; content:"NLST"; nocase; reference:url,www.nsftools.com/tips/RawFTP.htm; reference:url,doc.emergingthreats.net/2010737; classtype:attempted-recon; sid:2010737; rev:2;)

Список всех классов событий можно найти в файле classification.config, который должен поставляться вместе с набором правил для С-Терра СОВ.