<div dir="ltr">I believe constant full packet capture w/ suri or something such as moloch may be the answer for this.<div><br></div><div>I've deployed suri and moloch in tandem for this purpose, until precognition makes its way to the suricata stack. :)</div><div><br></div><div>Jason</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 1, 2017 at 4:41 AM, oleg gv <span dir="ltr"><<a href="mailto:oagvozd@gmail.com" target="_blank">oagvozd@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"> Hello !<br><br>How I can log packets BEFORE the packet that  trgigered a rule ? "Tag" rule option can log packets AFTER activation-packet, but I need to log BEFORE it.<br><br>May be there is a patch for it ?<br></div>
<br>______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br></blockquote></div><br></div>