
<div dir="ltr">ping?</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Sep 27, 2013 at 10:06 AM, Duane Howard <span dir="ltr"><<a href="mailto:duane.security@gmail.com" target="_blank">duane.security@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">FWIW I'm still not getting the payload information for these rule after rolling out 1.4.6 to my sensors. Still only getting TCP flags SYN/SYN,ACK/ACK, FIN, etc. and TCP options. But no TCP payload data in the packet. We are still however getting HTTP content in the http.log file. Any ideas? Things I can do to provide more info, something I might have misconfigured?</div>

<div class="HOEnZb"><div class="h5">

<div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Sep 19, 2013 at 8:24 AM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>On 09/19/2013 04:37 PM, Victor Julien wrote:<br>

</div><div>> On 09/19/2013 04:31 PM, Duane Howard wrote:<br>

>> Victor, am I correct in my interpretation of these responses that because I<br>

>> do have "tag:session,300,seconds;" in my rule, this should be working, but<br>

>> Suricata has a bug (tracking at<br>

>> <a href="https://redmine.openinfosecfoundation.org/issues/969" target="_blank">https://redmine.openinfosecfoundation.org/issues/969</a>) that is relevant to<br>

>> this, and that my lack of packets is *not* due to the HTTP logging module<br>

>> being enabled?<br>

><br>

> Yes. The HTTP logging module is not related to this in any way.<br>

><br>

> If you want to test the fix, please try:<br>

><br>

> <a href="https://github.com/inliniac/suricata/pull/557" target="_blank">https://github.com/inliniac/suricata/pull/557</a> (if you're willing to test<br>

> the master branch)<br>

> or:<br>

> <a href="https://github.com/inliniac/suricata/tree/dev-fix-tag-14" target="_blank">https://github.com/inliniac/suricata/tree/dev-fix-tag-14</a> (if you're on<br>

> 1.4.x)<br>

><br>

<br>

</div><div>I've pushed both fixes out, so both "master" and "master-1.4.x" have it now.<br>

<br>

Will be in 1.4.6. Should be out next week.<br>

<br>

Cheers,<br>

Victor<br>

<br>

</div><div><div>> Cheers,<br>

> Victor<br>

><br>

>><br>

>> ./d<br>

>><br>

>><br>

>> On Thu, Sep 19, 2013 at 2:31 AM, Anoop Saldanha <<a href="mailto:anoopsaldanha@gmail.com" target="_blank">anoopsaldanha@gmail.com</a>>wrote:<br>

>><br>

>>> On Thu, Sep 19, 2013 at 2:58 PM, Victor Julien <<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>> wrote:<br>

>>>> -----BEGIN PGP SIGNED MESSAGE-----<br>

>>>> Hash: SHA1<br>

>>>><br>

>>>> On 09/19/2013 11:24 AM, Edward Fjellskål wrote:<br>

>>>>> I googled, but did not find any docs about it.... saw some hits on<br>

>>>>> the sourcecode, but did not dig into them.<br>

>>>>><br>

>>>>> This is a great feature to have though, and I guess one can use<br>

>>>>> this for a fairly good packet capture and might satisfy the initial<br>

>>>>> request?<br>

>>>><br>

>>>> When fixed, this works by pushing the tags into the unified2 records,<br>

>>>> so barnyard2 would have to make pcap files out of that. Not sure how<br>

>>>> to configure by2 for that though.<br>

>>>><br>

>>><br>

>>> When tagged packets are logged, what will lwe og as the alert sid in<br>

>>> barnyard hdr, for packets that didn't trigger any alerts?<br>

>>><br>

>>>>> On Thu, Sep 19, 2013 at 9:33 AM, Victor Julien <<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a><br>

>>>>> <mailto:<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>>> wrote:<br>

>>>>><br>

>>>>> On 09/19/2013 09:07 AM, Edward Fjellskål wrote:<br>

>>>>>> <a href="https://redmine.openinfosecfoundation.org/issues/120" target="_blank">https://redmine.openinfosecfoundation.org/issues/120</a><br>

>>>>><br>

>>>>>> Snort would be able to do this like:<br>

>>>>><br>

>>>>>> *alert tcp 85.19.221.54 any <> $HOME_NET any (msg:”GL Log Packet<br>

>>>>>> Evil-IP 85.19.221.54 (<a href="http://gamelinux.org" target="_blank">gamelinux.org</a> <<a href="http://gamelinux.org" target="_blank">http://gamelinux.org</a>><br>

>>>>> <<a href="http://gamelinux.org" target="_blank">http://gamelinux.org</a>>)”;<br>

>>>>>> flags:S; tag:session,1000,bytes,100,seconds,0,packets;<br>

>>>>>> classtype:trojan-activity; sid:201102011; rev:1;)*<br>

>>>>><br>

>>>>> We support this tagging as well, never really benched it.<br>

>>>>><br>

>>><br>

>>><br>

>>> --<br>

>>> -------------------------------<br>

>>> Anoop Saldanha<br>

>>> <a href="http://www.poona.me" target="_blank">http://www.poona.me</a><br>

>>> -------------------------------<br>

>>> _______________________________________________<br>

>>> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>

>>> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>

>>> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

>>> OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>

>>><br>

>><br>

><br>

><br>

<br>

<br>

--<br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

<br>

_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>

</div></div></blockquote></div><br></div>

</div></div></blockquote></div><br></div>