<div dir="ltr">Thanks! That worked.<div><br></div><div>Is there a way to get the actual content of the signature into the alert? So not just the payload, subject, flowdata and so forth, but the actual signature itself, so someone can look at it in the alert to see why it may have fired erroneously...</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 17, 2016 at 1:10 PM, Jason Ish <span dir="ltr"><<a href="mailto:lists@unx.ca" target="_blank">lists@unx.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, Nov 17, 2016 at 11:35 AM, erik clark <<a href="mailto:philosnef@gmail.com">philosnef@gmail.com</a>> wrote:<br>
> I am getting the following event_types in my eve.json:<br>
><br>
><br>
> http<br>
> fileinfo<br>
><br>
> I have<br>
><br>
> http:<br>
>    enabled: no<br>
<br>
</span>The eve-log types don't have an enabled field. To disable them just<br>
comment it out. In the default suricata.yaml "netflow" is commented<br>
out this way, eg:<br>
<br>
    #- netflow<br>
<br>
Hope that helps,<br>
Jason<br>
</blockquote></div><br></div>