
Great! Now I've used the instructions from doc/GITGUIDE and I created my branch and merged back in to master. How do I get these changes out to you?<div><br></div><div>Xavier<br><br><div class="gmail_quote">On Fri, Jul 9, 2010 at 2:18 PM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">Xavier Lange wrote:<br>

> Whoops, forgot to cc this on the list...<br>

><br>

> On Fri, Jul 9, 2010 at 1:18 PM, Xavier Lange <<a href="mailto:xrlange@gmail.com">xrlange@gmail.com</a><br>

</div><div class="im">> <mailto:<a href="mailto:xrlange@gmail.com">xrlange@gmail.com</a>>> wrote:<br>

><br>

>     Reason for suppression: I'm writing to a fifo for easy ipc. I've got<br>

>     my own barnyard-esque app and given my constraints it's easier to<br>

>     use a fifo (it has some properties I prefer). Snort had this feature<br>

>     in its log config so I thought it would handy here as well.<br>

><br>

>     Out of curiosity, any reason to avoid adding the field to a threadvar?<br>

<br>

</div>Basically the different logging modules are each separate modules. I'd<br>

like each module to be as separated from the others as possible. We have<br>

a bunch of logging/output modules what don't use the timestamp: fast,<br>

alert-debuglog, prelude.<br>

<br>

Cheers,<br>

Victor<br>

<div class="im"><br>

><br>

>     Xavier<br>

><br>

><br>

>     On Fri, Jul 9, 2010 at 12:48 PM, Victor Julien <<a href="mailto:victor@inliniac.net">victor@inliniac.net</a><br>

</div><div><div></div><div class="h5">>     <mailto:<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>>> wrote:<br>

><br>

>         I guess my first question would be "what do you need to suppress<br>

>         it for?"<br>

><br>

>         Xavier Lange wrote:<br>

>         > What behavior would people like if you're suppressing the unified2<br>

>         > timestamp field? I'm hacking up some changes to suppress the<br>

>         timestamp<br>

>         > and I've got two options:<br>

>         ><br>

>         > a) Reset the file when the limit is hit<br>

>         > b) Ignore the file limit and just keep writing<br>

>         ><br>

>         > I think a is the better choice is a because the user has<br>

>         specified the<br>

>         > file size limit in their config. Either behavior is fine by me.<br>

>         ><br>

>         > Here's the config I'm envisioning:<br>

>         >   - unified2-alert:<br>

>         >       enabled: yes<br>

>         >       filename: unified2.alert<br>

>         >       timestamp: false<br>

>         ><br>

>         > And just have it keep writing to a file (in my case I'm<br>

>         writing to a<br>

>         > fifo for ez IPC).<br>

>         ><br>

>         > The code I'm looking at changing:<br>

>         > * tm-modules.h<br>

>         >   * Add (int) suppress_timestamp to LogFileCtx_.<br>

><br>

>         I don't think this chance is necessary. You can get a new option for<br>

>         just unified2 in Unified2AlertInitCtx.<br>

><br>

>         >   * Or come up with a convention where non-null filename and<br>

>         null prefix<br>

>         > imply suppression of timestamp.<br>

>         > * Unified2AlertInitCtx<br>

>         >   * Inspect ConfNode to detect presence and value of<br>

>         "timestamp", alter<br>

>         > file_ctx accordingly<br>

><br>

>         In Unified2AlertOpenFileCtx you could check for the option as it was<br>

>         retrieved by Unified2AlertInitCtx. The option can just be saved to a<br>

>         local static variable.<br>

><br>

>         Cheers,<br>

>         Victor<br>

><br>

>         > * Unified2<br>

>         >   * Check suppress_timestamp or the convention, and then implement<br>

>         > strategy a) or b).<br>

>         ><br>

>         > Ideas? Feedback?<br>

>         ><br>

>         ><br>

>         ><br>

>         ------------------------------------------------------------------------<br>

>         ><br>

>         > _______________________________________________<br>

>         > Oisf-devel mailing list<br>

>         > <a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>

</div></div>>         <mailto:<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a>><br>

<div class="im">>         > <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>

><br>

><br>

>         --<br>

>         ---------------------------------------------<br>

>         Victor Julien<br>

>         <a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

>         PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

>         ---------------------------------------------<br>

><br>

><br>

><br>

<br>

<br>

</div>--<br>

<div><div></div><div class="h5">---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

<br>

</div></div></blockquote></div><br></div>