<html><body bgcolor="#FFFFFF"><div>There is some value here on convention then; if a flowbit is set in one rule file but checked in another we can have issues in disparity. &nbsp;Convention might should be setting and checking of a flowbit constrained to a singular rule file where possible.</div><div><br></div><div>Speaking relative to performance I have noted flowbit-only checks are performance degrading by a heavy margin, so much so that performance-wise checking the Java stuff per content match may actually be faster than a flowbit. &nbsp;Think content:" Java/"; http_header; coupled with the intended match versus flowbit checking.</div><div><br></div><div>Perhaps we are inadvertently abusing flowbits, Joel any wisdom or insight here?</div><div><br></div><div>Nathan<br><br>On Oct 10, 2011, at 18:45, Chris Wakelin &lt;<a href="mailto:c.d.wakelin@reading.ac.uk">c.d.wakelin@reading.ac.uk</a>&gt; wrote:<br><br></div><div></div><blockquote type="cite"><div><span>No, it turns out I'm missing the relevant emerging-policy rules to set</span><br><span>the flowbits. Enabling the whole lot will be problematic in a University</span><br><span>(staff are bad enough, but the students ...) so I better be selective!</span><br><span></span><br><span>Best Wishes,</span><br><span>Chris</span><font class="Apple-style-span" color="#000000"><font class="Apple-style-span" color="#0023A3"><br></font></font></div></blockquote></body></html>