<div dir="ltr"><div><div><div>Hi Doug,<br><br></div>I haven't.....however I get the feeling I very much should!  Will have a look and give it a go.<br><br></div>Many thanks,<br><br></div>Luke<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 25 February 2016 at 11:42, Doug Burks <span dir="ltr"><<a href="mailto:doug.burks@gmail.com" target="_blank">doug.burks@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Luke,<br>
<br>
Have you considered the barnyard2 option called<br>
"--disable-alert-on-each-packet-in-stream"?<br>
<div><div class="h5"><br>
On Thu, Feb 25, 2016 at 3:56 AM, Luke Whitworth <<a href="mailto:l.a.whitworth@gmail.com">l.a.whitworth@gmail.com</a>> wrote:<br>
> Hi all,<br>
><br>
> I have my sensors all up and running, capturing traffic and alerting out<br>
> through barnyard2 to snorby.  Issue I have is that most alerts come through<br>
> multiple times, for example:<br>
><br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:01 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:01 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:01 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:01 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
> RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag<br>
> In Edwards Packed JavaScript 8:00 AM<br>
><br>
> The payload for each of these alerts is different so I'm guessing it's<br>
> Suricata alerting on the various packets that made up the suspicious flow,<br>
> but this does make it pretty hard to wade through.  Ideally I'd like<br>
> Suricata to alert once for the entire flow, ideally with the entire flow<br>
> payload attached to the one event.<br>
><br>
> Is this possible?  Or am I missing/misunderstanding something fairly<br>
> fundamental?<br>
><br>
> Cheers,<br>
><br>
> Luke<br>
><br>
</div></div>> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 9-11 in Washington, DC:<br>
> <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Doug Burks<br>
<a href="http://securityonion.net" rel="noreferrer" target="_blank">http://securityonion.net</a><br>
</font></span></blockquote></div><br></div>