<div dir="ltr">Its the stats entry in the eve.json. If I ignore the stats entry (grep -v), it processes the file, but I get a 24 byte pcap file with no content.<div><br></div><div>To confirm this, I did a grep -i packet eve.json |grep -v stats and processed that. Worked flawlessly.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 21, 2017 at 9:37 AM, Jason Ish <span dir="ltr"><<a href="mailto:lists@unx.ca" target="_blank">lists@unx.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Erik,<div><br></div><div>This is a very ugly error message saying your input JSON could not be decoded.  Any chance you can share (privately if needed) a portion of your eve.json that causes this to happen?</div><div><br></div><div>Thanks,</div><div>Jason</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 21, 2017 at 8:20 AM, erik clark <span dir="ltr"><<a href="mailto:philosnef@gmail.com" target="_blank">philosnef@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Ok, so on Victors suggestion, I decided to go with eve2pcap.py (see here: <a href="https://blog.jasonish.org/2015/10/01/eve2pcap-eve-packet-and-payload-conversion-to-pcap/" target="_blank">https://blog.jasonish.or<wbr>g/2015/10/01/eve2pcap-eve-pack<wbr>et-and-payload-conversion-to-<wbr>pcap/</a>)<div><br></div><div>I am getting this error though:</div><div><br></div><div><div> python eve2pcap.py -o /tmp/output.pcap /tmp/eve.json </div><div>Traceback (most recent call last):</div><div>  File "eve2pcap.py", line 244, in <module></div><div>    sys.exit(main())</div><div>  File "eve2pcap.py", line 230, in main</div><div>    event = json.loads(line)</div><div>  File "/usr/lib64/python2.7/json/__i<wbr>nit__.py", line 338, in loads</div><div>    return _default_decoder.decode(s)</div><div>  File "/usr/lib64/python2.7/json/dec<wbr>oder.py", line 365, in decode</div><div>    obj, end = self.raw_decode(s, idx=_w(s, 0).end())</div><div>  File "/usr/lib64/python2.7/json/dec<wbr>oder.py", line 381, in raw_decode</div><div>    obj, end = self.scan_once(s, idx)</div><div>ValueError: Expecting : delimiter: line 1 column 326 (char 325)</div><div><br></div></div><div><br></div><div>Any ideas? I am just running a regular eve.json file with nothing special configured except a 1kb payload. Thank you!</div></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>