<p dir="ltr">Hello,</p>
<p dir="ltr">Le 13 avr. 2016 7:40 PM, Andreas Moe <moe.andreas@gmail.com> a écrit :<br>
><br>
> hi there. im looking a bit into parsing eve alert payload, to be able to output the data to pcap format. im seeing that the payload data does not contain any tcp/ip/eth headers, is there any way to alter this? <br>
 No bit you could reconstruct it from the formated data.</p>
<p dir="ltr">and a second question, anyone know of previous work done on handeling the payload data in eve alert logs?<br>
></p>
<p dir="ltr">Evebox has a conversion feature see https://github.com/jasonish/evebox/blob/master/eve2pcaphandler.go</p>
<p dir="ltr">++</p>
<p dir="ltr">> /andreas</p>