<div dir="ltr"><div><div><div><div><div>Hi all,<br><br></div>I have my sensors all up and running, capturing traffic and alerting out through barnyard2 to snorby.  Issue I have is that most alerts come through multiple times, for example:<br><br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:01 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:01 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:01 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:01 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br>RESNET-S  149.202.1.123 GB  138.250.xxx.xx  ET CURRENT_EVENTS - Applet Tag In Edwards Packed JavaScript 8:00 AM<br><br></div>The payload for each of these alerts is different so I'm guessing it's Suricata alerting on the various packets that made up the suspicious flow, but this does make it pretty hard to wade through.  Ideally I'd like Suricata to alert once for the entire flow, ideally with the entire flow payload attached to the one event.<br><br></div>Is this possible?  Or am I missing/misunderstanding something fairly fundamental?<br><br></div>Cheers,<br><br></div>Luke<br></div>