<div dir="ltr">They're off by default (if I remember correctly). There are no true pcap files, just the packet contents represented in whatever format you select in the json blob.</div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 8, 2016 at 2:32 PM, Jeff H <span dir="ltr"><<a href="mailto:jeff61225@gmail.com" target="_blank">jeff61225@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="">On Mon, Feb 8, 2016 at 11:45 AM, Brandon Lattin <span dir="ltr"><<a href="mailto:latt0050@umn.edu" target="_blank">latt0050@umn.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">You're probably looking for the 'types' stanza under the eve-logging (json) component:<div><br></div><div><div>      types:</div><div>        - alert:</div><div>            # payload: yes           # enable dumping payload in Base64</div><div>            # payload-printable: yes # enable dumping payload in printable (lossy) format</div><div>            # packet: yes            # enable dumping of packet (without stream segments)</div></div></div><div class="gmail_extra"><br></div></blockquote></span><div>Thanks Brandon, that does seem to be what I'm looking for. So when using the type alert in eve-logging do all three of those default to yes? Are individual pcap files created for each alert?</div><div><br></div><div>I can't find this text in any of the documentation.  </div></div></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Brandon Lattin<div>Security Analyst<br><div>University of Minnesota - University Information Security<br>Office: 612-626-6672</div></div></div></div>
</div>