fácil ;)
preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
O número 4 quer dizer a quantidade de portas, o 3 quer dizer quanto tempo, ou seja, se alguem acessar 4 portas seguidas em menos de 3 segundos isso será encarado como um portscan!!!(Altere como achar melhor)
ta lah na minha primeira resposta o resto