<div dir="ltr">Hi,<div><br></div><div>I'm having troubles getting rules using http keywords to work, this is the behavior I'm seeing:</div><div><br></div><div>- an alert looking for http and content works:<br></div><div>      alert <b>http</b> any any -> any any (msg:"get"; <b>content</b>:"GET";sid...)</div><div>   </div><div>- anything else using the keywords fails like this one for example</div><div>      alert <b>http</b> any any -> any any (msg:"get method"; <b>content</b>:"GET";<b>http_method</b>;sid...)</div><div><br></div><div>I've turned on eve logging but I cannot see any http activity only dns (I have disabled all other loggers).</div><div><br></div><div>I'm using 2.0.5 on CentOS 6.5 in a VM (Fusion on Mac) and running in pcap live mode "suricata -i eth1 -c ...."</div><div><br></div><div>Any ideas what might be wrong ?</div><div><br></div><div>Thanks.</div><div><br></div><div><br></div></div>