
Hi,<br><br>Sorry, it still doesn't work. The error doesn't occur regardless of the nocase/http_raw_uri order if there is no pcre. My apologies.<br><br>Thanks,<br>Eileen<br><br><div class="gmail_quote">On Fri, Jan 13, 2012 at 5:46 PM, rmkml <span dir="ltr"><<a href="mailto:rmkml@yahoo.fr">rmkml@yahoo.fr</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thx you eileen,<br>

can you send a modified sig work please?<br>

Regards<span class="HOEnZb"><font color="#888888"><br>

Rmkml</font></span><div class="HOEnZb"><div class="h5"><br>

<br>

<br>

On Fri, 13 Jan 2012, eileen donlon wrote:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi,<br>

<br>

Confirmed. Can you please put in a ticket?<br>

<br>

As a workaround, it seems to load ok if you put the http_raw_uri before the nocase.<br>

 <br>

Thanks,<br>

Eileen<br>

<br>

On Fri, Jan 13, 2012 at 5:15 PM, rmkml <<a href="mailto:rmkml@yahoo.fr" target="_blank">rmkml@yahoo.fr</a>> wrote:<br>

      Hi,<br>

      Im test suricata v1.2rc1 and I have a request please (if anyone confirm of course)<br>

      ok, create a sig with `content:"/test"; nocase; http_raw_uri; pcre:"/^abc/Rsmi";`<br>

<br>

      suricata send error:<br>

      [13087] 13/1/2012 -- 22:53:20 - (detect-pcre.c:1193) <Error> (DetectPcreSetup) -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - No preceding content or uricontent or pcre option<br>

<br>

      but uri work with snort: GET /testabc HTTP/1.0...<br>

      `http_raw_uri` are little bit special because permit relative offset...<br>

      (http_raw_uri are like content but pattern searching only on http uri)<br>

<br>

      if Anyone confirm, Im create a new ticket...<br>

      Regards<br>

      Rmkml<br>

      ______________________________<u></u>_________________<br>

      Oisf-devel mailing list<br>

      <a href="mailto:Oisf-devel@openinfosecfoundation.org" target="_blank">Oisf-devel@<u></u>openinfosecfoundation.org</a><br>

      <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.<u></u>openinfosecfoundation.org/<u></u>mailman/listinfo/oisf-devel</a><br>

<br>

<br>

<br>

</blockquote>

</div></div></blockquote></div><br>