<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;"><div><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;">Hi,<o:p></o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><o:p> </o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;">We’re working on the project to bring Suricata as the IDS/IPS instead of using Snort.<o:p></o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;">One question I have is, I was told that Snort have the ability to capture the packet and write it into the log file if it is match with one of the existing signature.<o:p></o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;">For example, when this is a packet that match our rule, an alert event will be generated and following by the hex encoded packet capture. Then somebody can decode it and see a snippet in pcap ascii output or something.<o:p></o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><o:p> </o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;">I’m pretty new to IDS/IPS system, and not sure how exactly Snort does this (maybe the ‘log’ action in rule?). I’m wondering this there any similar functionality the Suricata provide?<o:p></o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><o:p> </o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><o:p><br></o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><o:p>Thanks</o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><o:p>Samiksha</o:p></p><p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><o:p><br></o:p></p></div></body></html>