<div dir="ltr">So, it's running on live traffic as a test system, and I can't move the 3.0 RC2 just yet as we're still working on a bunch of transition stuff to get away from Snort. I do have full packet capture on the box, however the error message doesn't tell me anything about the session where the error occurred.<div>Is there a way to turn up the verbosity of this log so that I can go extract the offending session and test that pcap directly?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Dec 13, 2015 at 11:50 AM, Andreas Herz <span dir="ltr"><<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 07/12/15 at 15:01, Duane Howard wrote:<br>
> I'm periodically seeing:<br>
> suricata[12489]: 7/12/2015 -- 18:51:15 - <Error> - [ERRCODE:<br>
> SC_ERR_BYTE_EXTRACT_FAILED(128)] - Error extracting 8 bytes of string data:<br>
> -1<br>
><br>
> Is this interesting for debugging. If yes, is there a way to log the stream<br>
> causing this to provide additional information?<br>
<br>
</span>Can you reproduce it?<br>
Then it would be the best to use tcpdump or similiar tools to create a<br>
pcap.<br>
<br>
You could also try 3.0RC2 to see if it's already gone in the newest<br>
version<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Andreas Herz<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a></font></span></blockquote></div><br></div>