<div dir="ltr">Hi there.<div><br></div><div>At the moment im looking into TLS-Certificate analysis and logging. Im allready an avid Suricata user, so i enabled TLSLogging (json format).</div><div><br></div><div>One thing ive been seing is that the destination for all events is the IP that has been contacted, and not the domain. Why is that?</div><div><br></div><div>One IP can hold tens to thousands of domains, so knwoing the domain that was asked for with regards for that TLS log event would be very valuable. </div><div><br></div><div>Yes, correlation (as i do) does solve some issues, and could connect the events. But my issue is why is it only the IP and not the FQDN that is in the tlslog?</div><div><br></div><div>/AndreasM</div></div>