<div dir="ltr">I tested this only few times(tcpreplayed http traffic) and during all this times, observed that Suricata is holding to those FIN packets. It will flush those packets only when I send more traffic(http traffic).<div><br></div><div>-MuraliĀ </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 15, 2016 at 11:44 AM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, Mar 14, 2016 at 8:39 AM, Murali Kandula <<a href="mailto:muralispruce@gmail.com">muralispruce@gmail.com</a>> wrote:<br>
> Hello,<br>
><br>
</span><span class="">> Can any body help me on how to make sure Suricata flush all the packets<br>
> immediately including the FIN packets?.<br>
<br>
</span>Is it just the Fin packets missing every time?<br>
<span class=""><br>
><br>
> -Murali<br>
><br>
> On Thu, Mar 10, 2016 at 3:47 PM, Murali Kandula <<a href="mailto:muralispruce@gmail.com">muralispruce@gmail.com</a>><br>
> wrote:<br>
>><br>
>> Hello,<br>
>><br>
>> I enabled the pcap-log option for Suricata. I replayed the traffic related<br>
>> to HTTP session and after a minute I opened the pcap file and didn't observe<br>
>> the FIN handshake. I am able to observe the FIN handshake after I replayed a<br>
>> traffic belong to another HTTP session.<br>
>> I tried playing with the flow timeout belong to TCP and it didn't work. Is<br>
>> there any config parameter that I can use to log the packets immediately?.<br>
>><br>
>> -Murali<br>
><br>
><br>
><br>
</span>> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 9-11 in Washington, DC:<br>
> <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>