
<div dir="ltr">So further investigation, I examined the files-json.log and the meta file in question that is missing the last 4 lines, in the json log it has that missing data. Was there any follow up on this being a bug or something else?<div>

<br></div><div><br></div><div>Vince</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jun 11, 2013 at 4:16 AM, Vincent Fang <span dir="ltr"><<a href="mailto:vincent.y.fang@gmail.com" target="_blank">vincent.y.fang@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im HOEnZb"><div dir="ltr">Here's the pcap file. It's me visiting a businessweek site and the pcap packet number is 2713.<br>

</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jun 11, 2013 at 3:52 AM, Anoop Saldanha <span dir="ltr"><<a href="mailto:anoopsaldanha@gmail.com" target="_blank">anoopsaldanha@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>On Tue, Jun 11, 2013 at 12:47 PM, Victor Julien <<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>> wrote:<br>


> On 06/10/2013 08:55 PM, Vincent Fang wrote:<br>

>> Ok that's good to know. I found one oddity with the file extraction with<br>

>> magic and md5 hash enabled in the Suricata.yaml file and I'm not sure if<br>

>> it's a bug or an issue on my end.<br>

>><br>

>> The alert signature looks like this<br>

>><br>

>> alert ip any any -> any any (msg:"file store all"; filestore; sid:5;)<br>

>><br>

>> and I examined all the meta and data files in the files directory<br>

>> /usr/local/var/log/suricata/files<br>

>><br>

>> and I ran the linux command after observing all meta data files had 16 lines<br>

>><br>

>> wc -l *.meta | grep -v 16<br>

>><br>

>> and I came across one meta file that only had 12 lines that was missing<br>

>> the last 4 lines MAGIC, STATE, MD5, and SIZE. The pcap file I was<br>

>> running Suricata against in offline mode was me visiting a<br>

>> <a href="http://businessweek.com" target="_blank">businessweek.com</a> <<a href="http://businessweek.com" target="_blank">http://businessweek.com</a>> site. Does anyone know why<br>

>> this oddity would have occurred?<br>

><br>

> Can you (privately) share this pcap?<br>

><br>

<br>

</div>Please add me to the CC if you can share the pcap.<br>

<span><font color="#888888"><br>

--<br>

-------------------------------<br>

Anoop Saldanha<br>

<a href="http://www.poona.me" target="_blank">http://www.poona.me</a><br>

-------------------------------<br>

</font></span></blockquote></div><br></div>

</div></div></blockquote></div><br></div>