<div dir="ltr">Jason, <div><br></div><div>YOU NAILED IT! In less than hour from my original post (I love this community :-D)</div><div><br></div><div>I was able to confirm that this was the cause by writing a dummy alert to trip on visits to <a href="http://google.com">google.com</a>. Placing tag:session,2,packets; into the alert causes 2 additional events to enter the unified2 file, both with sid: 1 and gen: 2, as expected. </div><div><br></div><div>So now that i know why it's happening i can move on with my life.</div><div><br></div><div>Barnyard2 wasn't actually having any problems, I'm fairly certain that a standard installation of barnyard2 and suricata would roll right through this no issues. It was actually a trigger I've got running in my database that couldn't join on the generator 2 in the alert, which was causing the following:<br></div><div><br><font face="monospace, monospace">err barnyard2: ERROR database: database: postgresql_error: ERROR:  null value in column "sig_gid" violates not-null constraint</font><br></div><div><br></div><div>Sincerely,</div><div>Shane Boissevain</div></div>