
<div dir="ltr">One last clarification question. So I know you can only access one HTTP data at a time, but it looks like the keywords packet and payload are the exceptions where you can ask for both of those and it will be fine. Is it intended that you can ask for packet and one of the http buffers at the same time as well or that is not the case? In my lua script, I requested for the packet data and the http body, but it seems to be erroring out in the following script portion of the match function<div>

<br></div><div style>local bytes = args["packet"]</div><div style>file:write("\n length of bytes is .. " .. #bytes .. "\n")</div><div style><br></div><div style>with luajit saying that length of local bytes is a nil value.</div>

<div style><br></div><div style>Vince</div><div style><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, May 17, 2013 at 2:40 PM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 05/17/2013 08:30 PM, Vincent Fang wrote:<br>

> The list of variables that represent the http buffers in the lua<br>

> scripting page, should I view it as the packet variable has everything<br>

> that the other variables are suppose to represent.<br>

<br>

</div>No, the packet var gets your the raw packet, so including link layer(s)<br>

like ethernet, transport layers like IP and TCP and the payload.<br>

<br>

You just get the data and the length of the data, everything else is up<br>

to you.<br>

<div class="im"><br>

> Like packet would contain payload data and payload data would contain<br>

> the http_uri or http.response_body?<br>

<br>

</div>No.<br>

<div class="im"><br>

> And is there any tcp data such as the source ip and port and destination<br>

> ip and port stored in any of these lua variables that I can extract from<br>

> or only http data is available?<br>

<br>

</div>No, not currently. I think it would make sense to add it though. Feel<br>

free to open a ticket.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

<br>

_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>

</font></span></blockquote></div><br></div>