Hi,<br>Might be a  bit late, but just to clarify - <br>at the moment it appears we have a problem/bug of calculating MD5s in demon mode ( -D ), that problem does NOT exist if you run Suricata not in demon mode (ex: suricata -c /etc/suricata/suricata.yaml -i eth0 )<br>
<br>If you would like to calculate just MD5s for everything (without any rules for the files themselves)  - please enable only the JSON output, with forced MD5s and disable file-store, like this :<br>(in suricata.yaml)<br>
<br><blockquote>  - file-store:<br>      <b>enabled: no </b>      # set to yes to enable<br>      log-dir: files    # directory to store the files<br>      force-magic: yes   # force logging magic on all stored files<br>      force-md5: yes     # force logging of md5 checksums<br>
      #waldo: file.waldo # waldo file to store the file_id across runs<br><br>  # output module to log files tracked in a easily parsable json format<br>  - file-log:<br>     <b> enabled: yes</b><br>      filename: files-json.log<br>
      append: no<br>      #filetype: regular # 'regular', 'unix_stream' or 'unix_dgram'<br><br>      force-magic: yes   # force logging magic on all logged files<br>      <b>force-md5: yes</b>     # force logging of md5 checksums<br>
</blockquote><br><br>I have updated the wiki page as well(bottom of the page):<br><br><a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/MD5">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/MD5</a><br>
<br>thanks<br><br><div class="gmail_quote">On Sat, May 26, 2012 at 2:15 AM, Seth Hall <span dir="ltr"><<a href="mailto:seth@icir.org" target="_blank">seth@icir.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im"><br>
On May 25, 2012, at 3:54 PM, Victor Julien wrote:<br>
<br>
> Don't worry about it. I don't expect everyone to follow everything all<br>
> the time (with exception of a fellow named Seth H of course).<br>
<br>
<br>
</div>Hah!  So that I'm not just adding adding noise to your mailing list, I'll ask a question too. :)<br>
<br>
Do you have any measurements that show how much of a performance impact enabling MD5 calculation adds?  It's a global setting too, right (all on or all off)?<br>
<br>
  .Seth<br>
<br>
--<br>
Seth Hall<br>
International Computer Science Institute<br>
(Bro) because everyone has a network<br>
<a href="http://www.bro-ids.org/" target="_blank">http://www.bro-ids.org/</a><br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div>Regards,</div>
<div>Peter Manev</div><br>