<div>I was tried 4.1.6 and 5.0.1 version suricata<br /> </div><div><div>file-store v1 tried with suricata version 5.0.1</div><div> </div><div> # deprecated - file-store v1</div><div>  - file-store:</div><div>      enabled: yes        # set to yes to enable</div><div>      log-dir: files      # directory to store the files</div><div>      force-magic: yes     # force logging magic on all stored files</div><div>      force-hash: [md5]   # force logging of md5 checksums </div><div>      force-filestore: yes # force storing of all files</div><div>      waldo: file.waldo   # waldo file to store the file_id across runs</div><div>      max-open-files: 0   # how many files to keep open (O means none)</div><div>      write-meta: yes     # write a .meta file if set to yes</div><div>      include-pid: yes </div><div> </div><div> </div><div><br />file-store v2 tried suricata version 5.0.1</div><div> </div><div><div><div>- file-store:</div><div>      version: 2</div><div>      enabled: yes</div><div> </div><div>      # Set the directory for the filestore. If the path is not</div><div>      # absolute will be be relative to the default-log-dir.</div><div>      dir: filestore </div><div> </div><div>      # Write out a fileinfo record for each occurrence of a</div><div>      # file. Disabled by default as each occurrence is already logged</div><div>      # as a fileinfo record to the main eve-log.</div><div>      #write-fileinfo: yes</div><div> </div><div>      # Force storing of all files. Default: no.</div><div>      force-filestore: yes</div><div> </div><div>      # Override the global stream-depth for sessions in which we want</div><div>      # to perform file extraction. Set to 0 for unlimited.</div><div>      #stream-depth: 0</div><div> </div><div>      # Uncomment the following variable to define how many files can</div><div>      # remain open for filestore by Suricata. Default value is 0 which</div><div>      # means files get closed after each write</div><div>      max-open-files: 1000</div><div> </div><div>      # Force logging of checksums, available hash functions are md5,</div><div>      # sha1 and sha256. Note that SHA256 is automatically forced by</div><div>      # the use of this output module as it uses the SHA256 as the</div><div>      # file naming scheme.</div><div>      force-hash: [md5]</div><div>      # NOTE: X-Forwarded configuration is ignored if write-fileinfo is disabled</div><div>      # HTTP X-Forwarded-For support by adding an extra field or overwriting</div><div>      # the source or destination IP address (depending on flow direction)</div><div>      # with the one reported in the X-Forwarded-For HTTP header. This is</div><div>      # helpful when reviewing alerts for traffic that is being reverse</div><div>      # or forward proxied.</div><div>      xff:</div><div>        enabled: no</div><div>        # Two operation modes are available, "extra-data" and "overwrite".</div><div>        mode: extra-data</div><div>        # Two proxy deployments are supported, "reverse" and "forward". In</div><div>        # a "reverse" deployment the IP address used is the last one, in a</div><div>        # "forward" deployment the first IP address is used.</div><div>        deployment: reverse</div><div>        # Header name where the actual IP address will be reported, if more</div><div>        # than one IP address is present, the last IP address will be the</div><div>        # one taken into consideration.</div><div>        header: X-Forwarded-For</div></div></div><div> </div><br />but not extract md5 key for downloaded file<br /><br />I  tried few times but not working where is problem ?  <br /><br />my conf or Freebsd Version or file-store ?<br /><br />thanks</div><div><br /></div><div><br /></div><div>06.01.2020, 14:11, "Victor Julien" <lists@inliniac.net>:</div><blockquote><p>On <span class="177d5a4333ac019606de889e143743a1wmi-callto">06-01-2020 10</span>:29, <a href="mailto:yunus.can@arjeta.com.tr">yunus.can@arjeta.com.tr</a> wrote:<br /></p><blockquote class="b4fd5cf2ec92bc68cb898700bb81355fwmi-quote"> This is Suricata version 4.0.3 RELEASE<br /></blockquote><p><br />The first step to take is to use a supported release: 4.1.6 or 5.0.1.<br /><br />We've fixed many issues in this area.<br /><br /></p><span class="c18e9d485856a85513717a5a5b59d3fewmi-sign">-- <br />---------------------------------------------<br />Victor Julien<br /><a href="http://www.inliniac.net/">http://www.inliniac.net/</a><br />PGP: <a href="http://www.inliniac.net/victorjulien.asc">http://www.inliniac.net/victorjulien.asc</a><br />---------------------------------------------<br /></span><p><br />_______________________________________________<br />Suricata IDS Devel mailing list: <a href="mailto:oisf-devel@openinfosecfoundation.org">oisf-devel@openinfosecfoundation.org</a><br />Site: <a href="http://suricata-ids.org/">http://suricata-ids.org</a> | Participate: <a href="http://suricata-ids.org/participate/">http://suricata-ids.org/participate/</a><br />List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br />Redmine: <a href="https://redmine.openinfosecfoundation.org/">https://redmine.openinfosecfoundation.org/</a><br /><br /></p></blockquote>