<div dir="ltr">I picked up an old suricata PR for something called timemachine and fixed up the issues that I discovered and got it working.  it does what I believe folks are looking for.  It obviously has limited based on available memory on the machine on which this is running.<div><br></div><div>I could resubmit the PR containing my own modifications if people have an interest in this.</div><div><br></div><div>Tom</div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Apr 11, 2017 at 1:33 PM Jason Williams <<a href="mailto:jwilliams@emergingthreats.net">jwilliams@emergingthreats.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg">I believe constant full packet capture w/ suri or something such as moloch may be the answer for this.<div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">I've deployed suri and moloch in tandem for this purpose, until precognition makes its way to the suricata stack. :)</div></div><div dir="ltr" class="gmail_msg"><div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">Jason</div></div><div class="gmail_extra gmail_msg"><br class="gmail_msg"><div class="gmail_quote gmail_msg">On Wed, Mar 1, 2017 at 4:41 AM, oleg gv <span dir="ltr" class="gmail_msg"><<a href="mailto:oagvozd@gmail.com" class="gmail_msg" target="_blank">oagvozd@gmail.com</a>></span> wrote:<br class="gmail_msg"><blockquote class="gmail_quote gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg"> Hello !<br class="gmail_msg"><br class="gmail_msg">How I can log packets BEFORE the packet that  trgigered a rule ? "Tag" rule option can log packets AFTER activation-packet, but I need to log BEFORE it.<br class="gmail_msg"><br class="gmail_msg">May be there is a patch for it ?<br class="gmail_msg"></div>
<br class="gmail_msg">_______________________________________________<br class="gmail_msg">
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" class="gmail_msg" target="_blank">oisf-users@openinfosecfoundation.org</a><br class="gmail_msg">
Site: <a href="http://suricata-ids.org" rel="noreferrer" class="gmail_msg" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" class="gmail_msg" target="_blank">http://suricata-ids.org/support/</a><br class="gmail_msg">
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br class="gmail_msg">
<br class="gmail_msg"></blockquote></div><br class="gmail_msg"></div>
_______________________________________________<br class="gmail_msg">
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" class="gmail_msg" target="_blank">oisf-users@openinfosecfoundation.org</a><br class="gmail_msg">
Site: <a href="http://suricata-ids.org" rel="noreferrer" class="gmail_msg" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" class="gmail_msg" target="_blank">http://suricata-ids.org/support/</a><br class="gmail_msg">
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br class="gmail_msg">
</blockquote></div>