<div dir="ltr"><div>Hi Peter,<br><br></div><div>Thank you! with "flow_id" I have found the right occurrency in the file-transaction list!<br></div><div>Is there also any other possibility that I am missing?<br><br></div>Thank you so much for your help!</div><div class="gmail_extra"><br><div class="gmail_quote">2015-02-26 20:00 GMT+01:00 Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Thu, Feb 26, 2015 at 7:46 PM, john nesh <<a href="mailto:john.nesh76@gmail.com">john.nesh76@gmail.com</a>> wrote:<br>
> Hi,<br>
><br>
> I want to know how to generate an alert from a md5 list.<br>
> I have generated some alert this way:<br>
> alert http any any -> any any (msg:"FILE MD5 Check EXE against a white<br>
> list"; filemagic:"exe"; filemd5:/etc/suricata/md5/md5.txt; sid:41; rev:1;)<br>
><br>
> I have the alert but I can't see the md5 in the alert and/or filename and/or<br>
> the source.<br>
><br>
> Is there any possibility to have this kind of view?<br>
<br>
</div></div>You can consider matching on the "flow_id" if you are using eve.json<br>
(and have enabled MD5/magic logging enabled )<br>
<br>
><br>
> John<br>
><br>
> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Training now available: <a href="http://suricata-ids.org/training/" target="_blank">http://suricata-ids.org/training/</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>