<div dir="ltr">Looking at the code (output-json-alert.c, line 326++) i see that if the packet option is enabled, the entire packet should be outputed. But some times i see that the payload (in the eve.json log) is much larger than the packet field. Something im not interpreting correctly here?</div><div class="gmail_extra"><br><div class="gmail_quote">2016-04-14 7:33 GMT+02:00 Andreas Moe <span dir="ltr"><<a href="mailto:moe.andreas@gmail.com" target="_blank">moe.andreas@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Ah, thanks that helps alot. I see thar in the eve2pcap there is an option for chosing to use / convert the payload rather than the packet. Any reasons why one would want the one form of output over the othet (seems abir disk wasting to output both, if packet is a superset of payload)</p><div class="HOEnZb"><div class="h5">
<br><div class="gmail_quote"><div dir="ltr">Den ons. 13. apr. 2016, 23:45 skrev Jason Ish <<a href="mailto:lists@unx.ca" target="_blank">lists@unx.ca</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, Apr 13, 2016 at 11:40 AM, Andreas Moe <<a href="mailto:moe.andreas@gmail.com" target="_blank">moe.andreas@gmail.com</a>> wrote:<br>
> hi there. im looking a bit into parsing eve alert payload, to be able to<br>
> output the data to pcap format. im seeing that the payload data does not<br>
> contain any tcp/ip/eth headers, is there any way to alter this? and a second<br>
> question, anyone know of previous work done on handeling the payload data in<br>
> eve alert logs?<br>
<br>
My python idstools package has a tool, eve2pcap, that can convert the<br>
packet or the payload to a pcap.  Payload conversion requires scapy.<br>
<br>
<a href="https://github.com/jasonish/py-idstools/blob/master/idstools/scripts/eve2pcap.py" rel="noreferrer" target="_blank">https://github.com/jasonish/py-idstools/blob/master/idstools/scripts/eve2pcap.py</a><br>
<br>
Jason<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 9-11 in Washington, DC: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a></blockquote></div></div></div></blockquote></div><br></div>