Ações personalizadas são definidas por declarações de tipo de regra no snort.conf; Essas ações personalizadas podem ser usadas em suas regras. Do snort.conf padrão:
# You can optionally define new rule types and associate one or more output
# plugins specifically to that type.
#
# This example will create a type that will log to just tcpdump.
# ruletype suspicious
# {
# type log
# output log_tcpdump: suspicious.log
# }
#
# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:
# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)
Como os tipos de regras podem ser completamente arbitrários, faz mais sentido analisar o arquivo snort.conf para quaisquer tipos de regras definidos primeiro e, em seguida, usá-los no hash de ação do analisador de regras ou o que for necessário.