na podlagi pravil opozarja na vzorce v omrežnem prometu, ki lahko pomenijo poizkus vdora v omrežje.
Izhod je mogoče preusmeriti v več zbirk podatkov: MySQL, Postgress, MS-SQL in Oracle. Z njegovo analizo je mogoče zaznati veliko število napadov in preizkušanj (probes), na primer: