<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Feb 8, 2016 at 11:45 AM, Brandon Lattin <span dir="ltr"><<a href="mailto:latt0050@umn.edu" target="_blank">latt0050@umn.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">You're probably looking for the 'types' stanza under the eve-logging (json) component:<div><br></div><div><div>      types:</div><div>        - alert:</div><div>            # payload: yes           # enable dumping payload in Base64</div><div>            # payload-printable: yes # enable dumping payload in printable (lossy) format</div><div>            # packet: yes            # enable dumping of packet (without stream segments)</div></div></div><div class="gmail_extra"><br></div></blockquote><div>Thanks Brandon, that does seem to be what I'm looking for. So when using the type alert in eve-logging do all three of those default to yes? Are individual pcap files created for each alert?</div><div><br></div><div>I can't find this text in any of the documentation.  </div></div></div></div>