<div dir="ltr"><div><font face="arial, helvetica, sans-serif">Howdy!</font></div><div><font face="monospace, monospace"><br></font></div><div>I'm having issues with some seemingly random alerts showing up in my unified2 output (which is causes some barnyard2 issues down the road). </div><div><br></div><div>Basically, the below alert ends up in my unified2.alert file which causes problems when barnyard2 goes to insert it into the database. The only way it could have possibly ended up in that file is if suricata wrote the alert there. But the strange thing is that the generator id = 2, and the signature id = 1. I've looked through my ruleset, and it doesn't exist. There is no mention of sid:1; anywhere, let alone gid:2;. </div><div><br></div><div>So my question is as follows: Where else could this alert be coming from? Is there a preprocessor (or equivalent) in suricata I'm neglecting to check? Where or what is my next step to start looking?</div><div><br></div><div><br></div><div><font face="monospace, monospace"><br></font></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><font face="monospace, monospace">(Event)<br></font><font face="monospace, monospace">     sensor id: 0      event id: 8193         event second: 1479151501    event microsecond: 559244<br></font><font face="monospace, monospace">        sig id: 1        gen id: 2                revision: 1                classification: 0<br></font><font face="monospace, monospace">      priority: 2     ip source: 10.0.0.1   ip destination: 192.168.1.100           blocked: 0<br></font><font face="monospace, monospace">      src port: 80    dest port: 62328            protocol: 6                   impact_flag: 0<br></font><font face="monospace, monospace">    mpls label: None    vlan id: None<br></font><font face="monospace, monospace"><br></font><font face="monospace, monospace">Packet<br></font><font face="monospace, monospace">        sensor id: 0                       event id: 8193    event second: 1479151501<br></font><font face="monospace, monospace">    packet second: 1479151501    packet microsecond: 559244<br></font><font face="monospace, monospace">         linktype: 1                  packet_length: 66</font></blockquote><div><font face="monospace, monospace"><br></font></div><div><font face="arial, helvetica, sans-serif">Sincerely,</font></div><div><font face="arial, helvetica, sans-serif">Shane Boissevain</font></div></div>