<div dir="ltr">Yeah, its very strange. We are using eve2pcap which does a great job of converting it, but we noticed that some content in packet: is either truncated or outright wrong...</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 28, 2017 at 2:09 PM, Jeremy MJ <span dir="ltr"><<a href="mailto:jskier@gmail.com" target="_blank">jskier@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Did you decode the base64 properly? Also, I believe the packet field<br>
is very limited with what you get in general.<br>
<br>
I don't seem to have your problem with 3.2 (feeding from rspan), but<br>
it's definitely malformed with erspan captures (Bug #1526).<br>
<br>
--<br>
Jeremy MJ<br>
<div><div class="h5"><br>
<br>
On Tue, Feb 28, 2017 at 7:28 AM, erik clark <<a href="mailto:philosnef@gmail.com">philosnef@gmail.com</a>> wrote:<br>
> The content in eve.json for the packet field matches neither the payload nor<br>
> the payload_printable, nor what I assume to be the other side of the<br>
> transaction...<br>
><br>
> Wat?<br>
><br>
> Is this expected behavior? Also, the packet appears to be highly truncated.<br>
> This is on suri 3.2. I believe I see the same behavior on suri 3.1.3 as<br>
> well.<br>
><br>
</div></div>> ______________________________<wbr>_________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
><br>
</blockquote></div><br></div>