
<div dir="ltr">Hey Peter,<div><br></div><div>Sorry - yes the timestamps are still showing the pattern of 2018-03-15T06:45:27.000001-0400, etc.</div><div><br></div><div>Steve</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 15, 2018 at 9:06 AM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Mar 13, 2018 at 1:23 PM, Steve Castellarin<br>

<<a href="mailto:steve.castellarin@gmail.com">steve.castellarin@gmail.com</a>> wrote:<br>

> Hi Peter, no the timestamps are still not showing the microseconds - no<br>

> matter what I change in the Napatech configuration.<br>

><br>

<br>

</span>Not showing microseconds or still showing only the pattern (if i<br>

understood correctly what you mentioned earlier ) -<br>

yyyy-mm-ddThh:mm:ss.000001-<wbr>0500<br>

?<br>

<br>

As they do show up as expected at least in the test set ups (this one<br>

below is with an Intel NIC) -<br>

"timestamp":"2018-03-15T11:22:<wbr>43.869423+0100"<br>

"timestamp":"2018-03-15T11:22:<wbr>43.923182+0100"<br>

"timestamp":"2018-03-15T11:22:<wbr>46.677016+0100"<br>

"timestamp":"2018-03-15T11:23:<wbr>02.030184+0100"<br>

"timestamp":"2018-03-15T11:23:<wbr>09.378716+0100"<br>

<div class="HOEnZb"><div class="h5"><br>

<br>

> Steve<br>

><br>

> On Tue, Mar 13, 2018, 3:25 AM Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br>

>><br>

>> On Fri, Dec 29, 2017 at 3:24 PM, Steve Castellarin<br>

>> <<a href="mailto:steve.castellarin@gmail.com">steve.castellarin@gmail.com</a>> wrote:<br>

>> > Hey Mike,<br>

>> ><br>

>> > Thanks for the link.  I've had the Napatech configuration now for a<br>

>> > couple<br>

>> > years, plus.  I did double check my NTSERVICE.ini file and do see the<br>

>> > TimeSyncReferencePriority setting to "OSTime" as noted on the page.  I<br>

>> > did<br>

>> > open a ticket with Napatech about the millisecond question, and they<br>

>> > believed it was a Suricata issue and possibly upgrading to 4.x (I was<br>

>> > previously running 3.1.1) would resolve the issue.  So far no luck.<br>

>> ><br>

>><br>

>> Did you mange to get it working as expected?<br>

>><br>

>><br>

>> > On Fri, Dec 29, 2017 at 9:15 AM, Michael Stone <<a href="mailto:mstone@mathom.us">mstone@mathom.us</a>> wrote:<br>

>> >><br>

>> >> On Thu, Dec 28, 2017 at 03:59:55PM -0700, James Moe wrote:<br>

>> >>><br>

>> >>>  No. There is a feature request<br>

>> >>> <<a href="https://redmine.openinfosecfoundation.org/issues/1469" rel="noreferrer" target="_blank">https://redmine.<wbr>openinfosecfoundation.org/<wbr>issues/1469</a>> that addresses<br>

>> >>> this issue.<br>

>> >><br>

>> >><br>

>> >> That's something different. I think the timestamp weirdness (bogus<br>

>> >> milliseconds) is an artifact of the napatech cards. (Ironically,<br>

>> >> because<br>

>> >> they support high precision timestamping.) Steve, did you follow the<br>

>> >> instructions at<br>

>> >> <a href="http://suricata.readthedocs.io/en/latest/capture-hardware/napatech.html" rel="noreferrer" target="_blank">http://suricata.readthedocs.<wbr>io/en/latest/capture-hardware/<wbr>napatech.html</a><br>

>> >> (specifically, the part about TimeSyncReferencePriority)?<br>

>> >><br>

>> >> Mike Stone<br>

>> ><br>

>> ><br>

>> ><br>

>> > ______________________________<wbr>_________________<br>

>> > Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>

>> > Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support:<br>

>> > <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>

>> > List:<br>

>> > <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>

>> ><br>

>> > Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>

>> > Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a><br>

>><br>

>><br>

>><br>

>> --<br>

>> Regards,<br>

>> Peter Manev<br>

<br>

<br>

<br>

</div></div><span class="HOEnZb"><font color="#888888">--<br>

Regards,<br>

Peter Manev<br>

</font></span></blockquote></div><br></div>