
<div dir="ltr">Thanks, we'll work around this with the s/seconds/packets fix until 1.4.7 release.</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Oct 10, 2013 at 4:40 AM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 10/10/2013 09:33 AM, Victor Julien wrote:<br>

> On 09/27/2013 07:06 PM, Duane Howard wrote:<br>

>> FWIW I'm still not getting the payload information for these rule after<br>

>> rolling out 1.4.6 to my sensors. Still only getting TCP flags<br>

>> SYN/SYN,ACK/ACK, FIN, etc. and TCP options. But no TCP payload data in<br>

>> the packet. We are still however getting HTTP content in the http.log<br>

>> file. Any ideas? Things I can do to provide more info, something I might<br>

>> have misconfigured?<br>

><br>

> Right, it appears that the "session" tagging isn't functioning<br>

> correctly. If you use "host" it works fine here, also with your rule.<br>

> Looking into it.<br>

<br>

</div>Found the issue. It's actually a silly bug. Fixing it is easy:<br>

<br>

diff --git a/src/detect-tag.c b/src/detect-tag.c<br>

index 9d7d859..a6d51a0 100644<br>

--- a/src/detect-tag.c<br>

+++ b/src/detect-tag.c<br>

@@ -137,7 +137,7 @@ int DetectTagMatch (ThreadVars *t,<br>

DetectEngineThreadCtx *det_ctx, Packet *p, Si<br>

                 /* If it already exists it will be updated */<br>

                 tde.sid = s->id;<br>

                 tde.gid = s->gid;<br>

-                tde.last_ts = tde.first_ts = p->ts.tv_usec;<br>

+                tde.last_ts = tde.first_ts = p->ts.tv_sec;<br>

                 tde.metric = td->metric;<br>

                 tde.count = td->count;<br>

<br>

This fix will go into 1.4.7 and 2.0beta2, but is already available in<br>

the master-1.4.x and master branches.<br>

<br>

<br>

A work around is to use bytes or packets:<br>

<br>

So instead of:<br>

<br>

alert ip any any -> $IP any (msg:"log all traffic";<br>

tag:session,300,seconds; sid:9; rev:1;)<br>

<br>

use:<br>

<br>

alert ip any any -> $IP any (msg:"log all traffic";<br>

tag:session,300,packets; sid:9; rev:1;)<br>

<br>

You may want to change the value of 300 to something higher to be sure<br>

to catch most of a session.<br>

<br>

<a href="https://redmine.openinfosecfoundation.org/issues/995" target="_blank">https://redmine.openinfosecfoundation.org/issues/995</a><br>

<a href="https://redmine.openinfosecfoundation.org/issues/996" target="_blank">https://redmine.openinfosecfoundation.org/issues/996</a><br>

<div class="HOEnZb"><div class="h5"><br>

--<br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

<br>

</div></div></blockquote></div><br></div>