Пользовательское правило suricata для хранения и оповещения всех файлов PDF

Я пытаюсь добавить новое правило в Suricata, чтобы хранить любые передачи файлов PDF в сети. Я пытаюсь добиться этого по двум правилам

оповещение http любой любой -> любой любой (сообщение:"FILE PDF обнаружен"; filemagic:"PDF документ"; хранилище файлов; sid: 3; rev:1;)

а также

оповещение ftp any any -> any any (сообщение:"FILE pdf обнаружено"; filemagic: "документ PDF"; хранилище файлов; sid: 4; rev:1;)

второе правило всегда дает мне ошибку как ошибку конфигурации.

когда я пробую только первый и пытаюсь загрузить любой файл PDF с http страницы, оповещение не появляется

Что мне здесь не хватает