面倒なので投稿したネタを貼って終了(ぉ

http_client_bodyは、HTTP通信におけるクライアントからのリクエストをhttp_inspectプリプロセッサで正規化した後にパターンマッチングするように命令するためのキーワードです。これが指定されると、その直前に書かれたcontentキーワードで指定された文字列を正規化されたリクエスト文字列から検索します、って事のようです。bodyと書かれているのでヘッダ部分はパターンマッチング対象から除外されているかも、です。
http_uriは同様にリクエストのURI部分についてのパターンマッチングで、使い方はhttp_client_bodyと同様のようですね。
（あくまで2.6.1.5に同梱されたsnortのマニュアルから読み取ったものですので、その通りに動くかどうかは試してませんのでわかりません）

つーか、投稿ネタ中途半端だし、そもそも日本語変じゃんね。って事で修正のうえ貼り付け。やっぱり日本語変な気もするがよしとしよう(ぉぃぉぃ