<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Mon, Feb 8, 2016 at 8:33 PM Jeff H <<a href="mailto:jeff61225@gmail.com">jeff61225@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Thanks Brandon, that does seem to be what I'm looking for. So when using the type alert in eve-logging do all three of those default to yes? Are individual pcap files created for each alert?<br></div></div></div></blockquote><div><br></div><div>If you're after the full sessions that caused the alert, then you'll need an external packet capture program that gives you a rolling buffer on disk. You can then retrieve the session from that program's archive. If you're on an IPv4 only network then Moloch is pretty sweet, Stenographer is shaping up nicely (AF_PACKET only though) and OpenFPC is worth a look too.</div><div><br></div><div>The chances are if your existing USM setup provides packet capture, that wasn't done by Snort and the same solution that worked for you there will still work now.</div><div><br></div><div>-- </div><div> Rob MacGregor </div></div></div>