<div dir="ltr">Hey Peter,<div><br></div><div>I'd love to, but it looks like that page is migrated and no longer editable:</div><div>"<strong style="color:rgb(51,51,51);font-family:Verdana,sans-serif;font-size:12px;line-height:normal">Do not edit. This page has been migrated. See <a class="wiki-page" href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Converting_Wiki_Documentation_to_Sphinx" style="color:rgb(17,102,153);text-decoration:none;word-wrap:break-word">Converting_Wiki_Documentation_to_Sphinx</a>."</strong></div><div><font color="#333333" face="Verdana, sans-serif"><span style="font-size:12px;line-height:normal"><a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Lua_Output">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Lua_Output</a></span></font><br></div><div><strong><font color="#333333" face="Verdana, sans-serif"><span style="font-size:12px;line-height:normal"><br></span></font></strong></div><div><font color="#333333" face="Verdana, sans-serif"><span style="font-size:12px;line-height:normal">I see how to convert the wiki documents at that link, but how do you edit them after that?</span></font></div><div><br></div><div>Thanks,</div><div>Nasir</div><div><br></div><div class="gmail_quote"><div dir="ltr">On Tue, Jan 19, 2016 at 5:45 AM Peter Manev <<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sat, Jan 16, 2016 at 6:37 AM, Nasir Bilal <<a href="mailto:bilalbox@gmail.com" target="_blank">bilalbox@gmail.com</a>> wrote:<br>
> After perusing the documentation and commit history more carefully, it looks<br>
> like my syntax was just extremely messed up. However, there are two<br>
> different sets of verbage used: that in the documentation, and that in the<br>
> actually committed code:<br>
><br>
> Documentation states that in order to be able to use TLS keywords in LUA<br>
> scripts we need to use the following init statement:<br>
> function init (args)<br>
>     local needs = {}<br>
>     needs["protocol"] = "tls"<br>
>     return needs<br>
> end<br>
><br>
> However, when I attempt to load a rulebase that includes rules referencing a<br>
> LUA script with the 'needs["protocol"]' line in it, I get the follow error<br>
> when running suricata 3.0RC3:<br>
> qnadmin@qn1:/etc/suricata/rules$ sudo suricata -c<br>
> /etc/suricata/suricata.yaml -q 0 --init-errors-fatal<br>
> 16/1/2016 -- 00:14:06 - <Notice> - This is Suricata version 3.0RC3 RELEASE<br>
> 16/1/2016 -- 00:14:06 - <Error> - [ERRCODE: SC_ERR_LUA_ERROR(212)] -<br>
> unsupported data type protocol<br>
> 16/1/2016 -- 00:14:06 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] -<br>
> error parsing signature "reject tls $EXTERNAL_NET any -> $HOME_NET any<br>
> (msg:"HTTPS $$$ - DROPPED"; flow:established,to_client;<br>
> luajit:bl_shopping_https.lua; sid:10001008; rev:1;)" from file<br>
> /etc/suricata/rules/drop.rules at line 37<br>
> 16/1/2016 -- 00:14:06 - <Error> - [ERRCODE: SC_ERR_NO_RULES_LOADED(43)] -<br>
> Loading signatures failed.<br>
><br>
> However, in the commit history I find a different syntax required for the<br>
> init function (which works):<br>
><br>
> lua: TLS support<br>
><br>
> Support TLS in Lua detection scripts.<br>
><br>
> function init (args)<br>
>     local needs = {}<br>
>     needs["tls"] = tostring(true)<br>
>     return needs<br>
> end<br>
><br>
><br>
> I know that the "procotol" keyword should be active in 3.0RC3 per the<br>
> documentation, so is this a temporary issue? Or should I go in and update<br>
> the documentation?<br>
<br>
Yes -  i can confirm that. The init function's correct statement is "<br>
needs["tls"] = tostring(true) "<br>
Do you mind updating that part of the wiki docs?<br>
<br>
<br>
><br>
> Thanks again all for your support!<br>
> Nasir<br>
<br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</blockquote></div></div>