Snort sử dụng file cấu hình lúc khởi động. Một file cấu hình snort.conf được chứa sẵn trong source code của Snort /etc/snort/snort.conf. Có thể đặt tên tùy ý cho file cấu hình, tuy nhiên tên thông thường là snort.conf. Khi muốn sử dụng trong hoạt động của Snort thì kèm theo option -c trong câu lệnh cùng với tên của file cấu hình.

File cấu hình được tổ chức thành nhiều phần khác nhau:

Ví dụ về một file cấu hình Snort đơn giản:

Cụ thể, từng thành phần như sau:

1.Các biến network và biến cấu hình

Các biến được định nghĩa trong file cấu hình được dùng trong các rule của Snort.
Một số biến mặc định trong snort: HOME_NET (IP hay dải IP của hệ thống cần được bảo vệ), EXTERNAL_NET (thường là IP và dải IP không thuộc hệ thống, tức là khác
HOME_NET), HTTP_PORTS (port 80 mặc định cho HTTP, 443 cho HTTPS), SHELLCODE_PORTS (thường được thiết lập !80), ORACLE_PORTS (mặc định là port 1521)… Các biến được sử dụng để xác định các server đang chạy các dịch vụ như: DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS, TELNET_SERVERS, SNMP_SERVERS

2. Cấu hình Decoder và Detection Engine

Mặc định decoder của Snort sẽ cảnh báo việc sử dụng các gói TCP có option không thông dụng, do ít gặp trên mạng nên xem như là hành động không hợp lệ. Người dùng có thể tắt các cảnh báo này bằng cách bỏ ký tự “#” vào trước vào các dòng lệnh disable một loại cảnh báo nào đó, ví dụ config disable_decode_alerts.

Một cách tương tự với cấu hình Detection:

3. Cấu hình load thư viện tự động

4. Cấu hình Preprocessor

Các bộ tiền xử lý và các plug-ins đầu vào hoạt động trên các gói tin nhận được trước khi các Snort rule được áp dụng trên chúng, chạy sau khi gói tin được decode và trước khi gọi detection engine. Cấu hình bộ tiền xử lý cung cấp các thông tin cơ bản về thêm hoặc bớt các bộ tiền xử lý của Snort. Phần cấu hình này có định dạng:

preprocessor <tên>[: <option cấu hình>]

Mỗi pre-processor có thể chấp nhận các option hay tham số khác nhau được cung cấp phía sau tên của nó. Ngoài những preprocessor được định nghĩa sẵn, người dùng có thể viết preprocessor của riêng mình với hướng dẫn được cung cấp trong source code của Snort.

5. Cấu hình module output

Module output, hay còn được gọi là output plug-ins, thay đổi đầu ra từ các rule của Snort. Việc cấu hình của module này thường có định dạng chung như sau:

output <tên module>[: <option cấu hình>]

6. Tùy chỉnh các cảnh báo Preprocessor, Decoder, các Rules và các Shared Object Snort Rule

File cấu hình có thể chứa các file khác với từ khóa include. Những file được thêm này có thể là những file chứa các thông tin cấu hình hay chứa các rule được Snort sử dụng (có đuôi .rules). Ngoài ra, từ khóa include cũng có thể dùng cho các file classification.config trong trường hợp cài đặt việc phân loại và độ ưu tiên trong Snort, hoặc reference.config chứa các liên kết đến các trang web chứa thông tin về các cảnh báo.

Định dạng: include <path_to_file>

Ví dụ: