<div dir="ltr"><div class="gmail_signature"><div style="font-family:Verdana;background-color:rgb(255,255,255)">Hi,</div><div style="font-family:Verdana;background-color:rgb(255,255,255)"><br></div><div style="font-family:Verdana;background-color:rgb(255,255,255)">I am a new suricata user, I added a rule in the dns-events.rules for detecting the IPv6 reverse lookup request. when I run the suricata to read my trace file, </div><div style="font-family:Verdana;background-color:rgb(255,255,255)"><br></div><div style="background-color:rgb(255,255,255)"><font face="Verdana">sudo suricata -c suricata.yaml -r test -s /etc/suricata/rules/dns-events.rules -l /var/log/suricata/</font><br></div><div style="background-color:rgb(255,255,255)"><font face="Verdana"><br></font></div><div style="font-family:Verdana;background-color:rgb(255,255,255)">I got all the packets from the original trace, but I only need the packets that match my defined rule. I have done the similar setting in Snort, if I run the Snort command,</div><div style="font-family:Verdana;background-color:rgb(255,255,255)"><br></div><div style="font-family:Verdana;background-color:rgb(255,255,255)">sudo snort -r /etc/suricata/test -c /rules/dns.rules -l /var/log/snort/</div><div style="font-family:Verdana;background-color:rgb(255,255,255)"><br></div><div style="font-family:Verdana;background-color:rgb(255,255,255)">it only output the packet that match my defined rule.</div><div style="font-family:Verdana;background-color:rgb(255,255,255)"><br></div><div style="font-family:Verdana;background-color:rgb(255,255,255)">I just wonder, is there anything special settings I have to configure for Suricate only output the pcap-log that contains all reverse lookup packets?</div><div style="font-family:Verdana;background-color:rgb(255,255,255)"><br></div><div style="font-family:Verdana;background-color:rgb(255,255,255)"><br></div><div style="font-family:Verdana;background-color:rgb(255,255,255)"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">Many thanks for your attention to this matter. Have a nice day.</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">Kind regards,</span><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">Steven</span><br></div><div style="font-family:Verdana;background-color:rgb(255,255,255)"><br></div><div style="font-family:Verdana;background-color:rgb(255,255,255)">   </div></div>
</div>