<div dir="ltr">Is there a convenient way to do app-layer protocol alerting to see what on the network is using smb1 and what is using smb2? I see from:<div><br></div><div><a href="http://suricata.readthedocs.io/en/suricata-4.0.3/rules/differences-from-snort.html">http://suricata.readthedocs.io/en/suricata-4.0.3/rules/differences-from-snort.html</a><br></div><div><br></div><div><ul class="gmail-simple" style="box-sizing:border-box;margin:0px;padding:0px;list-style-position:initial;line-height:24px;color:rgb(64,64,64);font-family:Lato,proxima-nova,"Helvetica Neue",Arial,sans-serif;font-size:16px;background-color:rgb(252,252,252)"><li style="box-sizing:border-box;list-style:circle;margin-left:24px">smb</li><li style="box-sizing:border-box;list-style:circle;margin-left:24px">smb2 (disabled internally inside the engine)</li></ul><div><font color="#404040" face="Lato, proxima-nova, Helvetica Neue, Arial, sans-serif"><span style="font-size:16px"><br></span></font></div></div><div><font color="#404040" face="Lato, proxima-nova, Helvetica Neue, Arial, sans-serif"><span style="font-size:16px">We would like to classify all smb traffic by its version, and an app-layer alert seems to be the best way to go about that, but I don't see how you can alert on smb2? Just smb(1)? Thanks!</span></font></div><div><font color="#404040" face="Lato, proxima-nova, Helvetica Neue, Arial, sans-serif"><span style="font-size:16px"><br></span></font></div><div><font color="#404040" face="Lato, proxima-nova, Helvetica Neue, Arial, sans-serif"><span style="font-size:16px">This would be a single purpose box with just those two rules on it.</span></font></div></div>