<div dir="ltr">Thank you! Looks good now. </div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 9, 2017 at 11:01 AM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Thu, Feb 9, 2017 at 4:50 PM, erik clark <<a href="mailto:philosnef@gmail.com">philosnef@gmail.com</a>> wrote:<br>
> Is it possible to do a filesha256 instead of filemd5? I only see<br>
> documentation on filemd5, but have sha256 sums. How can I alert on files<br>
> with sha256 sums? Thanks!<br>
><br>
<br>
<br>
</div></div>The routine is the same -<br>
alert http any any -> any any (msg:"Black list checksum match and<br>
extract SHA256"; filesha256:fileextraction-<wbr>chksum.list; filestore;<br>
sid:666; rev:1;)<br>
and then the file - fileextraction-chksum.list in your rules directory<br>
will contain the sha256 sums<br>
<br>
Can you please open a doc issue on our redmine for that.<br>
<br>
Thank you<br>
<br>
<br>
<br>
><br>
> ______________________________<wbr>_________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>