<div dir="ltr">Hi all,<div><br></div><div>Thanks for all the hard work on Suricata! I've found it quite easy to build, install, and configure on CentOS which I'm sure took a lot of work and it's just been very user friendly to work with!</div><div><br></div><div>I'm looking at Suricata 4.0.0 and the EVE output that it generates and I'm noticing some differences from Suricata 3.2.0. For example I'm looking at the following rule:</div><div><br></div><div>----------------------------------------------<br></div><div><div>alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET TROJAN Windows executable base64 encoded";</div><div> flow: established,from_server;</div><div> file_data;</div><div> content:"TVqQA";</div><div> pcre:"/^[A-Za-z0-9]{3}(?:[A-Za-z0-9+/]{4}|\s){100}/Rs";</div><div> reference:md5,49aca228674651cba776be727bdb7e60;</div><div> classtype:trojan-activity;</div><div> sid:2018856;</div><div> rev:10;</div><div>)</div></div><div>----------------------------------------------</div><div><br></div><div>In Suricata 4.0.0 I'm noticing that the 'pcap_cnt' and 'payload' values are no longer in the EVE json report.</div><div><br></div><div>My guess is that this has something to do with the 'file_data' keyword in the rule and the new http and metadata logging options in Suricata 4.0.0. I've played with these options a bit but I haven't found a way to get to these two values in the EVE output.<br></div><div><br></div><div>I'm still investigating this but was wondering if anyone could help me understand this difference. </div><div><br></div><div>I believe the relevant portion of the eve-log config is:</div><div><br></div><div>Suricata 3.2.0:</div><div><br></div><div><div>----------------------------------------------<br></div><div><div>      types:</div><div>        - alert:</div><div>            payload: yes             # enable dumping payload in Base64</div><div>            # payload-buffer-size: 4kb # max size of payload buffer to output in eve-log</div><div>            # payload-printable: yes   # enable dumping payload in printable (lossy) format</div><div>            # packet: yes              # enable dumping of packet (without stream segments)</div><div>            http: no                # enable dumping of http fields</div><div>            tls: no                 # enable dumping of tls fields</div><div>            ssh: no                 # enable dumping of ssh fields</div><div>            smtp: no                # enable dumping of smtp fields</div><div>            dnp3: no                # enable dumping of DNP3 fields</div><div>----------------------------------------------<br></div></div></div><div><br></div><div>Suricata 4.0.0:</div><div><br></div><div><div>----------------------------------------------<br></div><div><div>      types:</div><div>        - alert:</div><div>            payload: yes             # enable dumping payload in Base64</div><div>            # payload-buffer-size: 4kb # max size of payload buffer to output in eve-log</div><div>            # payload-printable: yes   # enable dumping payload in printable (lossy) format</div><div>            # packet: yes              # enable dumping of packet (without stream segments)</div><div>            http-body: no           # enable dumping of http body in Base64</div><div>            http-body-printable: no # enable dumping of http body in printable format</div><div>            metadata: no              # add L7/applayer fields, flowbit and other vars to the alert</div></div><div></div></div><div><div>----------------------------------------------<br></div><div><br></div><div>Right now I've generated alerts for all of the malware-traffic-analysis pcaps with the ET Open rules on Suricata 3.2.0 and 4.0.0 and going through all of the differences in the EVE output. If anyone is interested I can share my other findings so far.<br></div><div><br></div><div>Thanks,</div><div>Tom</div><div></div></div></div>