res

   1 **Phase 1: Completed pre-decoding.
   2        full event: 'Apr 27 15:22:23 niban sudo:     dcid : TTY=pts/4 ; PWD=/home/dcid ; USER=root ; COMMAND=/usr/bin/tail /var/log/snort/alert.fast'
   3        hostname: 'niban'
   4        program_name: 'sudo'
   5        log: '    dcid : TTY=pts/4 ; PWD=/home/dcid ; USER=root ; COMMAND=/usr/bin/tail /var/log/snort/alert.fast'
   6
   7 **Phase 2: Completed decoding.
   8        decoder: 'sudo'
   9        dstuser: 'dcid'
  10
  11 **Phase 3: Completed filtering (rules).
  12        Rule id: '5403'
  13        Level: '4'
  14        Description: 'First time user executed sudo.'
  15 **Alert to be generated.
  16
  17