<div dir="ltr">So further investigation, I examined the files-json.log and the meta file in question that is missing the last 4 lines, in the json log it has that missing data. Was there any follow up on this being a bug or something else?<div>
<br></div><div><br></div><div>Vince</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jun 11, 2013 at 4:16 AM, Vincent Fang <span dir="ltr"><<a href="mailto:vincent.y.fang@gmail.com" target="_blank">vincent.y.fang@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im HOEnZb"><div dir="ltr">Here's the pcap file. It's me visiting a businessweek site and the pcap packet number is 2713.<br>
</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jun 11, 2013 at 3:52 AM, Anoop Saldanha <span dir="ltr"><<a href="mailto:anoopsaldanha@gmail.com" target="_blank">anoopsaldanha@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>On Tue, Jun 11, 2013 at 12:47 PM, Victor Julien <<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>> wrote:<br>


> On 06/10/2013 08:55 PM, Vincent Fang wrote:<br>
>> Ok that's good to know. I found one oddity with the file extraction with<br>
>> magic and md5 hash enabled in the Suricata.yaml file and I'm not sure if<br>
>> it's a bug or an issue on my end.<br>
>><br>
>> The alert signature looks like this<br>
>><br>
>> alert ip any any -> any any (msg:"file store all"; filestore; sid:5;)<br>
>><br>
>> and I examined all the meta and data files in the files directory<br>
>> /usr/local/var/log/suricata/files<br>
>><br>
>> and I ran the linux command after observing all meta data files had 16 lines<br>
>><br>
>> wc -l *.meta | grep -v 16<br>
>><br>
>> and I came across one meta file that only had 12 lines that was missing<br>
>> the last 4 lines MAGIC, STATE, MD5, and SIZE. The pcap file I was<br>
>> running Suricata against in offline mode was me visiting a<br>
>> <a href="http://businessweek.com" target="_blank">businessweek.com</a> <<a href="http://businessweek.com" target="_blank">http://businessweek.com</a>> site. Does anyone know why<br>
>> this oddity would have occurred?<br>
><br>
> Can you (privately) share this pcap?<br>
><br>
<br>
</div>Please add me to the CC if you can share the pcap.<br>
<span><font color="#888888"><br>
--<br>
-------------------------------<br>
Anoop Saldanha<br>
<a href="http://www.poona.me" target="_blank">http://www.poona.me</a><br>
-------------------------------<br>
</font></span></blockquote></div><br></div>
</div></div></blockquote></div><br></div>