<div dir="ltr">In suricata.yaml, in the libhtp section, I put:<div><br></div><div>request-body-limit: 3kb</div><div>response-body-limit: 3kb</div><div><br></div><div>but I am curious. If it is gzipped encoded, what would that turn out to be after unpacking? Is this the correct place to put it?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 27, 2017 at 8:54 AM, Giuseppe Longo <span dir="ltr"><<a href="mailto:lists@glongo.it" target="_blank">lists@glongo.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<div><div class="h5">Il giorno gio, 27/07/2017 alle 07.50 -0400, erik clark ha scritto:<br>
> So, I am pushing events into splunk from suricata. Life was great<br>
> before http_response_body and http_request_body. However, after<br>
> turning them on, I got a 28k size event., which caused a malformed<br>
> event to be pushed into splunk, making it unreadable, as our splunk<br>
> has a limit of 10k for an event.  How can I limit the size of the<br>
> http_response_body and http_request_body to the first 3k each? I am<br>
> sure I have events bigger than this. Thanks!<br>
><br>
<br>
</div></div>The problem of limiting http_request_body/http_<wbr>response_body is that if<br>
the matching part is lost there is no more interest.<br>
<br>
To have smaller events you can try to decrease<br>
request-body-minimal-inspect-<wbr>size and<br>
response-body-minimal-inspect-<wbr>size.<br>
<br>
BR,<br>
Giuseppe<br>
<br>
</blockquote></div><br></div>