It looks like you are correct in that this is a valid use case.  I will file a bug and look into how this should be handled.<br><br>Regards,<br><br>Will<br><br><div class="gmail_quote">On Sat, Jan 2, 2010 at 10:42 AM, rmkml <span dir="ltr"><<a href="mailto:rmkml@free.fr" target="_blank">rmkml@free.fr</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi,<br>
After small testing, I have a new small question with this signature:<br>
  alert tcp any any -> any any (msg:"test"; flow:to_server,established; uricontent:"test"; nocase; isdataat:96,relative; sid:987654321; rev:1; )<br>
If I start suricata:<br>
  ./suricata080beta -c suricata.yaml -r test.pcap --init-errors-fatal<br>
...<br>
[15316] 2/1/2010 -- 21:30:39 - (detect.c:327) <Info> (SigLoadSignatures) -- Loading rule file: test.rules<br>
DetectIsdataatSetup: Unknown previous keyword!<br>
<br>
ok this signature it's not good for production use (signature simplified<br>
for demonstrated isdataat error), but error it's not appear on snort,<br>
maybe it's a suricata bug?<br>
Regards<br>
<font color="#888888">Rmkml<br>
Crusoe-Researches.com<br>
_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org" target="_blank">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
</font></blockquote></div><br>