
<div><br>Thanks for you anwers !<br></div><div class="gmail_quote">Le 6 avril 2012 10:17, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>></span> a écrit :<br><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">


<div class="HOEnZb"><div class="h5">On 4/6/2012 10:08 AM, Anoop Saldanha wrote:<br>

> On Fri, Apr 6, 2012 at 1:33 PM, Victor Julien <<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>> wrote:<br>

>> On 04/06/2012 09:59 AM, Michel SABORDE wrote:<br>

>>> Hello everyone,<br>

>>><br>

>>> I'm facing a strange problem.<br>

>>> Sometimes alerts are "buffered" and only wrote in fast.log when i stop<br>

>>> suricata.<br>

>>> It is painful because to be sure whether or not an alert was triggered,<br>

>>> i have to restart suricata at each test.<br>

>>> Did anyone encounter the same problem ?<br>

>> It's likely because the alert is only triggered when the flow times out.<br>

>> This can happen when Suricata missed the TCP FIN or RST packets. You can<br>

>> try to lower the flow timeout settings in your yaml. You should see the<br>

>> alerts coming in sooner then.<br>

>><br>

>> --<br>

>> ---------------------------------------------<br>

>> Victor Julien<br>

>> <a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

>> PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

>> ---------------------------------------------<br>

>><br>

>> _______________________________________________<br>

>> Oisf-users mailing list<br>

>> <a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>

>> <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

> Coming to think of it, for really long streams, our flow manager can<br>

> send a pseudo packet every 'x' seconds to trigger raw reassembly and<br>

> inspection.  This should keep the alerts coming.<br>

><br>

</div></div>I like the idea.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Regards,<br>

Peter Manev<br>

</font></span><div class="HOEnZb"><div class="h5"><br>

_______________________________________________<br>

Oisf-users mailing list<br>

<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>

<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

</div></div></blockquote></div><br>