<div dir="ltr">Hi,<div><br></div><div>I want to add the email body to the eve.json file. In order to do that I set the nexts configs:</div><div><br></div><div><ul><li><font face="monospace, monospace">eve-log.types.smtp.extended: yes<br></font></li><li><font face="monospace, monospace">smtp.custom: [received, x-originating-ip, relays, reply-to, bcc, message-id, subject, x_mailer, user-agent, body]<br></font></li><li><font face="monospace, monospace">smtp.md5: [body]<br></font></li><li><font face="monospace, monospace">app-layer.protocols.smtp.mime.body-md5: yes<br></font></li></ul></div><div>But i'm not receiving any body. This is an smtp output example:</div><div><br></div><div><div><font face="monospace, monospace">timestamp : "2017-03-21T13:12:20.340419-0300"</font></div><div><font face="monospace, monospace">flow_id : 617963398526092</font></div><div><font face="monospace, monospace">in_iface : "bond0"</font></div><div><font face="monospace, monospace">event_type : "smtp"</font></div><div><font face="monospace, monospace">src_ip : "asdasdasd"</font></div><div><font face="monospace, monospace">src_port : 59824</font></div><div><font face="monospace, monospace">dest_ip : "asdasdasd"</font></div><div><font face="monospace, monospace">dest_port : 25</font></div><div><font face="monospace, monospace">proto : "TCP"</font></div><div><font face="monospace, monospace">tx_id : 0</font></div><div><font face="monospace, monospace">smtp</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">   </span>helo : "<a href="http://mail.asd.com">mail.asd.com</a>"</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre"> </span>mail_from : ""</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>rcpt_to</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">         </span>0 : ""</font></div><div><font face="monospace, monospace">email</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>status : "PARSE_DONE"</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre"> </span>from : "=?UTF-8?B?Q29udGFiaWxpZGFkIHkgVHJpYnV0YWNpw7Nu?= "</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>to</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">              </span>0 : "<a href="mailto:asd@asd.com">asd@asd.com</a>"</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>attachment</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">              </span>0 : "btgf8ym.jpg"</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">             </span>1 : "logo-amb.jpg"</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>reply_to : "asdasdasd"</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>message_id : "<asdasdasdasd>"</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">   </span>subject : "asdasdasdasd"</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>received</font></div><div><font face="monospace, monospace"><span class="gmail-Apple-tab-span" style="white-space:pre">                </span>0 : "asdasdasdasd"</font></div></div><div><font face="monospace, monospace"><br></font></div><div><font face="arial, helvetica, sans-serif">What I'm doing wrong?</font></div><div><font face="arial, helvetica, sans-serif">My suricata version is 3.2.1</font></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">Regards,</font></div><div><font face="arial, helvetica, sans-serif">Joaquín Silva</font></div></div>