<div dir="ltr">Thanks, we'll work around this with the s/seconds/packets fix until 1.4.7 release.</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Oct 10, 2013 at 4:40 AM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 10/10/2013 09:33 AM, Victor Julien wrote:<br>
> On 09/27/2013 07:06 PM, Duane Howard wrote:<br>
>> FWIW I'm still not getting the payload information for these rule after<br>
>> rolling out 1.4.6 to my sensors. Still only getting TCP flags<br>
>> SYN/SYN,ACK/ACK, FIN, etc. and TCP options. But no TCP payload data in<br>
>> the packet. We are still however getting HTTP content in the http.log<br>
>> file. Any ideas? Things I can do to provide more info, something I might<br>
>> have misconfigured?<br>
><br>
> Right, it appears that the "session" tagging isn't functioning<br>
> correctly. If you use "host" it works fine here, also with your rule.<br>
> Looking into it.<br>
<br>
</div>Found the issue. It's actually a silly bug. Fixing it is easy:<br>
<br>
diff --git a/src/detect-tag.c b/src/detect-tag.c<br>
index 9d7d859..a6d51a0 100644<br>
--- a/src/detect-tag.c<br>
+++ b/src/detect-tag.c<br>
@@ -137,7 +137,7 @@ int DetectTagMatch (ThreadVars *t,<br>
DetectEngineThreadCtx *det_ctx, Packet *p, Si<br>
                 /* If it already exists it will be updated */<br>
                 tde.sid = s->id;<br>
                 tde.gid = s->gid;<br>
-                tde.last_ts = tde.first_ts = p->ts.tv_usec;<br>
+                tde.last_ts = tde.first_ts = p->ts.tv_sec;<br>
                 tde.metric = td->metric;<br>
                 tde.count = td->count;<br>
<br>
This fix will go into 1.4.7 and 2.0beta2, but is already available in<br>
the master-1.4.x and master branches.<br>
<br>
<br>
A work around is to use bytes or packets:<br>
<br>
So instead of:<br>
<br>
alert ip any any -> $IP any (msg:"log all traffic";<br>
tag:session,300,seconds; sid:9; rev:1;)<br>
<br>
use:<br>
<br>
alert ip any any -> $IP any (msg:"log all traffic";<br>
tag:session,300,packets; sid:9; rev:1;)<br>
<br>
You may want to change the value of 300 to something higher to be sure<br>
to catch most of a session.<br>
<br>
<a href="https://redmine.openinfosecfoundation.org/issues/995" target="_blank">https://redmine.openinfosecfoundation.org/issues/995</a><br>
<a href="https://redmine.openinfosecfoundation.org/issues/996" target="_blank">https://redmine.openinfosecfoundation.org/issues/996</a><br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
</div></div></blockquote></div><br></div>