<p dir="ltr">When you say this output is a little differet from the packer, could you specify? For example would it give normalized and decoded (ex. GRE, http gzip payload), or tje raw "i matched on this packet" like unified records are.</p>
<br><div class="gmail_quote"><div dir="ltr">tir. 29. des. 2015, 17:48 skrev Jason Ish <<a href="mailto:lists@unx.ca">lists@unx.ca</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, Dec 28, 2015 at 7:40 AM, Alan Wanderley dos Santos<br>
<<a href="mailto:alan.santos@rnp.br" target="_blank">alan.santos@rnp.br</a>> wrote:<br>
> Hi all,<br>
><br>
> I use a script to grab each event from fast.log. For each event, the script send a email with the event data (just the line from fast.log). How can i get packet data in human readable mode and send it in this same email? I try use pcap.log (and tcpdump for read it), but, there are not any kind of identification that i can connect an event with a specific packet data. I think use the time, but is not a effect way to do this(Can be 2 or N events in the same time). Other option is match every attribute from event to package data (ip_source, ip_dest, port_source, port_dest, protocol, time etc). But, i think that isan't the best way to do the job.<br>
><br>
> Can you help-me guys?<br>
<br>
I'd look at the eve.log instead of the fast.log. It gives you the<br>
option to include the payload (a little different from the packet,<br>
usually more useful) in a printable format.  Its also JSON, so<br>
depending on what you are using for your script, it may be more useful<br>
as well.<br>
<br>
Jason<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a></blockquote></div>