<div dir="ltr"><p class=""><span lang="EN-US">Hi</span></p>

<p class=""><span lang="EN-US">I replay the pcap file which is attached. The
pcap file can cause many alerts in fast.log, for example 50 alerts. When I
replay it for a second time, I expected there will be 100 alerts in fast.log
but it is still 50. </span></p><p class=""><span lang="EN-US">But when I restart suricata and replay the packet then I can
get 100 alerts.</span></p></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jul 15, 2013 at 9:50 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi ,<br>
<div class="im"><br>
><br>
><br>
><br>
> On Mon, Jul 15, 2013 at 8:54 PM, xbadou xbadou <<a href="mailto:xbadou@gmail.com">xbadou@gmail.com</a>> wrote:<br>
>><br>
>> Hi<br>
>><br>
>><br>
>><br>
>> I am using suricata 1.4.2. Today I do a test, but can't get the result I<br>
>> want.<br>
>><br>
<br>
</div>What is the result that you want?<br>
<div class="im"><br>
>><br>
>><br>
>> I use a computer runing suricata and listen traffic on one interface. On<br>
>> the same time, I use the other PC replaying a pcap file on the interface<br>
>> which connected to the first PC. The pcap file contain some tcp packet which<br>
>> can cause alerts.<br>
>><br>
>><br>
>><br>
<br>
<br>
</div>What are the alerts that you are seeing and what are the alerts that<br>
you are expecting?<br>
<br>
<br>
<br>
Regards,<br>
Peter Manev<br>
</blockquote></div><br></div>