hi,when I run suricata in pcap-file mode,and use fast and unified2 output plugins,I want to know which packet in pcap-file triggered signature,so I print p->pcap_cnt, I found some value is 0,I don't know in which condition the value is set to zero ?<br>
I know if event generated by single packet,the p->pcap_cnt is valid,if event generated by ip fragment or tcp stream,p->pcap_cnt is useless, Can someone know where the codes set p->pcap_cnt to zero?<br><br>thanks ,walker<br>