<div style="line-height:1.7;color:#000000;font-size:14px;font-family:Arial"><div>Hi all,</div><div>I use suricata 3.2.0, and have enabled tagged-packets and flow feature in suricata.yaml. I intend to capture the bi-directional packets of a flow/session if the first packet of that flow/session fires a rule, so I wrote the following rule</div><div><br></div><div>               alert tcp any any -> any 80 ( msg:"test"; sid:1000000; content:"abc"; http_uri; flowbits: isnotset, foo; flowbits: set,foo; tag:session; rev:1;)</div><div><br></div><div>then I used postman to send a http request to my target machine with string abc in its URL part, the request did fire this rule, and I could see the request details in my unified2 log file, I used u2spefoo to view the unified2 file, and I could see printable HTTP request, it's something like "GET /?abc.......", but I could not find the HTTP response message in printable format. I don't know why. flowbits and tag don't work here? Am I missing anything? Many thanks.</div><div><br></div><div>Regards</div><div>Hittlle</div><div><br></div></div><br><br><span title="neteasefooter"><p> </p></span>