<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>Sorry i forgot to say i have already tried and haven't seen any alert.<br></div><div>I check for the alerts on kibana.<br data-mce-bogus="1"></div><div><br></div><div><br></div><hr id="zwchr" data-marker="__DIVIDER__"><div data-marker="__HEADERS__"><b>Da: </b>"Peter Manev" <petermanev@gmail.com><br><b>A: </b>"Miso Mijatovic" <mmijatovic@sorint.it><br><b>Cc: </b>oisf-users@lists.openinfosecfoundation.org<br><b>Inviato: </b>Lunedì, 20 aprile 2015 17:34:52<br><b>Oggetto: </b>Re: [Oisf-users] file truncated<br></div><div><br></div><div data-marker="__QUOTED_TEXT__"><br><div><br>On 20 apr 2015, at 17:12, Miso Mijatovic <<a href="mailto:mmijatovic@sorint.it" target="_blank">mmijatovic@sorint.it</a>> wrote:<br><br></div><blockquote><div><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>Hi,</div><br><div>i need to set up a black md5 list using Suricata2.1beta3 on Selks. I wrote a rule to try:<br></div><br><div>alert http any any -> any any (msg:"CHECK file MD5"; filemd5:md5list.txt; gid:10000; sid:1200002; rev:1;)<br></div><br><div>In md5list.txt i have only the md5 of the file i am trying to check.<br></div><div>I followed the instructions on this page <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction</a> and set up the suricata.yaml:<br></div><div><em>stream.checksum_validation</em> yes<br></div></div></div></blockquote><br><div>Can you try with</div><div><span style="background-color: ;"><em>stream.checksum_validation</em> no</span></div><div><span style="background-color: ;">?</span></div><div><span style="background-color: ;">Thanks</span></div><div><span style="background-color: ;"><br></span></div><br><blockquote><div><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div><em>stream.reassembly.depth</em> 0<br></div><div><em>libhtp.default-config.request-body-limit </em>0</div><div><em>libhtp.default-config.response-body-limit</em> 0 (the server part is commented)<br></div><br><div>I used the rule to match some pdf (for example the one at this page <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/MD5" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/MD5</a>) and i noticed that the signature matches only on small files (some kb). With bigger files the sig doesn't match and if i search for those files in the files-json.log i see that are always truncated (even if i can read the file with no problems). I even tried to increase the timeouts in the flow-timeouts section of the sutricata.yaml without success.<br></div><br><div>Does anybody have this problem or know how to solve it?<br></div><br><div>Thanks,</div><br><div>Miso Mijatovic</div></div></div></blockquote><blockquote><div><span>_______________________________________________</span><br><span>Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a></span><br><span>Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a></span><br><span>List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a></span><br><span>Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" target="_blank">http://oisfevents.net</a></span><br data-mce-bogus="1"></div></blockquote><br></div></div></body></html>