<div dir="ltr">Victor, am I correct in my interpretation of these responses that because I do have "<span style="font-family:arial,sans-serif;font-size:13px">tag:session,300,seconds;" in my rule, this should be working, but Suricata has a bug (tracking at </span><a href="https://redmine.openinfosecfoundation.org/issues/969">https://redmine.openinfosecfoundation.org/issues/969</a>) that is relevant to this, and that my lack of packets is <i>not</i> due to the HTTP logging module being enabled?<div>
<br></div><div>./d</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Sep 19, 2013 at 2:31 AM, Anoop Saldanha <span dir="ltr"><<a href="mailto:anoopsaldanha@gmail.com" target="_blank">anoopsaldanha@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Thu, Sep 19, 2013 at 2:58 PM, Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>> wrote:<br>

> -----BEGIN PGP SIGNED MESSAGE-----<br>
> Hash: SHA1<br>
><br>
> On 09/19/2013 11:24 AM, Edward Fjellskål wrote:<br>
>> I googled, but did not find any docs about it.... saw some hits on<br>
>> the sourcecode, but did not dig into them.<br>
>><br>
>> This is a great feature to have though, and I guess one can use<br>
>> this for a fairly good packet capture and might satisfy the initial<br>
>> request?<br>
><br>
> When fixed, this works by pushing the tags into the unified2 records,<br>
> so barnyard2 would have to make pcap files out of that. Not sure how<br>
> to configure by2 for that though.<br>
><br>
<br>
</div>When tagged packets are logged, what will lwe og as the alert sid in<br>
barnyard hdr, for packets that didn't trigger any alerts?<br>
<div class="im HOEnZb"><br>
>> On Thu, Sep 19, 2013 at 9:33 AM, Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a><br>
>> <mailto:<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>>> wrote:<br>
>><br>
>> On 09/19/2013 09:07 AM, Edward Fjellskål wrote:<br>
>>> <a href="https://redmine.openinfosecfoundation.org/issues/120" target="_blank">https://redmine.openinfosecfoundation.org/issues/120</a><br>
>><br>
>>> Snort would be able to do this like:<br>
>><br>
>>> *alert tcp 85.19.221.54 any <> $HOME_NET any (msg:”GL Log Packet<br>
>>> Evil-IP 85.19.221.54 (<a href="http://gamelinux.org" target="_blank">gamelinux.org</a> <<a href="http://gamelinux.org" target="_blank">http://gamelinux.org</a>><br>
>> <<a href="http://gamelinux.org" target="_blank">http://gamelinux.org</a>>)”;<br>
>>> flags:S; tag:session,1000,bytes,100,seconds,0,packets;<br>
>>> classtype:trojan-activity; sid:201102011; rev:1;)*<br>
>><br>
>> We support this tagging as well, never really benched it.<br>
>><br>
<br>
<br>
</div><span class="HOEnZb"><font color="#888888">--<br>
-------------------------------<br>
Anoop Saldanha<br>
<a href="http://www.poona.me" target="_blank">http://www.poona.me</a><br>
-------------------------------<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a></div></div></blockquote></div><br></div>