<blockquote style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><pre>On 05/24/2012 12:58 PM, Roberto Martelloni wrote:
><i> Also a fix to the file name are added.
</i>><i> In archive mode the file name is in this format:
</i>><i> hostname-YYYYMMDD-HHMMSS.pcap
</i>
The hostname is the ids system's hostname?</pre></blockquote><div>Is the hostname part of the FQDN returned from the libc function gethostname() .<br><br></div><blockquote style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
<pre>
><i> I've added this mode of running to allow a software in pipe to read data
</i>><i> only from NON running file dump and to allow a system administrator to
</i>><i> identify which file are actually in dump and which one are already
</i>><i> dumped and closed.
</i>
So if I understand correctly, the problem this should solve is to make
sure it's clear to the administrator which of the logged pcap files in
the log directory are already completed?</pre></blockquote><div><br>Yes, but not only that. <br>For example you can point a software to check the archive_dest_dir path and move/elaborate all the files in it without the need to identify which file are currently dumped by suricata.<br>
<br>R.<br clear="all"></div><br>-- <br><span><font color="#888888">Roberto Martelloni <br>boos @ <a href="http://boos.core-dumped.info/" target="_blank">http://boos.core-dumped.info</a><br></font></span><br><span><font color="#888888"><br>
</font></span><br>