<div dir="ltr">Thanks for the reply sir.<br>As you given the packet flow so firstly I 
would like to go through the receive part so if i give suricata the pcap
 now how can i see the packet capture part of suricata and i mean how i 
debug it?<div class=""><div id=":w8" class="" tabindex="0"><img class="" src="https://mail.google.com/mail/u/0/images/cleardot.gif"></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Oct 10, 2013 at 1:01 PM, Anoop Saldanha <span dir="ltr"><<a href="mailto:anoopsaldanha@gmail.com" target="_blank">anoopsaldanha@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Wed, Oct 9, 2013 at 11:40 PM, Anil Joshi <<a href="mailto:aj27744@gmail.com">aj27744@gmail.com</a>> wrote:<br>

> Hi All,<br>
><br>
> Hi i have an query for you actually i need a suggestion if i want to<br>
> understand suricata working that mean how it takes packet how it matches it<br>
> against signtaure how should i proceed?<br>
><br>
<br>
</div></div>I would suggest taking a pcap and stepping through the code.  You can<br>
use the pcap file interface for this purpose<br>
<br>
suricata -c suricata.yaml -r path/to/pcap_file --runmode=single<br>
<br>
Suricata is modular, as in, each of the different phases is split into<br>
an identifiable module - receive, decoder, stream, detection, verdict,<br>
logging.<br>
<br>
Packets flow though the above sequence in a sequential manner.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
-------------------------------<br>
Anoop Saldanha<br>
<a href="http://www.poona.me" target="_blank">http://www.poona.me</a><br>
-------------------------------<br>
</font></span></blockquote></div><br></div>