<div dir="ltr"><div>Hey folks, another strange behavior I'm seeing that I'm wondering about.</div><div><br></div><div>I have a rule like this, which I believe should basically record all sessions to IP_I_CARE_ABOUT:</div>
<div>alert ip $HOME_NET any -> $IP_I_CARE_ABOUT any (msg:"log all traffic"; tag:session,300,seconds; reference:url,<a href="http://foo.example.com">foo.example.com</a>; classtype:misc-activity; priority:2; sid:9000001; rev:1;)</div>
<div><br></div><div>I also have http logging enabled.</div><div>It seems like when this rule fires I get the SYN/SYN-ACK/ACK, but do not get any further traffic when the traffic is HTTP, I do however get corresponding HTTP text logs written to my http.log file.</div>
<div><br>Is this working as intended? I assumed that I would get the full capture as well as the plaintext log of the HTTP traffic.</div><div><br>Thanks,</div><div>/.d</div><div><br></div></div>