<div dir="ltr">In a test pcap, I have two distinct sessions (neither is closed) that look something like:<div><br></div><div>SYN, SYN-ACK, ACK, HTTP-GET</div><div>SYN, SYN-ACK, ACK, HTTP-GET<br></div><div><br></div><div>They do both have the same 5-tuple so they'd look like the same session if there wasn't a new 3-way handshake. (imo the second three-way handshake should kill the first session and start a new one).</div><div><br></div><div>Snort will alert twice (once per flow) but Suricata will only alert once and the recorded time seems to be the time of the packet at the final ACK for the second flow. Where snort's alert times map directly to the packet times of the GET request that my rule is looking for.</div><div><br></div><div>I'm still new to Suricata, is there some flow/sessionization setup configuration I'm missing that would cause this behavior? I'm on 2.0.4 built from source. Also, why would the alert time in the fast.log map to a packet *after* the suspect content?</div><div><br></div><div>Thanks,</div><div>Duane</div></div>