<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>I am wondering if anyone else has noticed the following behavior or can provide advice on what may be the cause of it?</div><div><br></div><div>Over the last month and a half we have had a large number of alerts triggered from HTTP rules that have no payload and no payload_printable data present in the logged alert.  Both the fields and values in these alerts are absent from the EVE logs.</div><div><br></div><div>This is happening mostly for Emerging Threats rule 2016683 (<a href="http://doc.emergingthreats.net/bin/view/Main/2016683">http://doc.emergingthreats.net/bin/view/Main/2016683</a>) where about 50% of the alerts are missing payload/payload_printable data.  That rule has a content match in http_client_body so we would expect the traffic triggering the alert to have payload.  There are other HTTP rules (e.g. 2019182, 2011768) where we see missing payload/payload_printable as well but these do not have nearly as high of a percentage of alerts with this behavior.</div><div><br></div><div>Something else worth noting is that we do have metadata logging enabled, and in about 25% of these cases there is HTTP metadata included for these alerts that are missing payload/payload_printable data.  I understand the metadata does not include payload info, but thought it was worth mentioning since other application layer logging is happening fine in some of these cases.<br></div><div><br></div><div>Also, this behavior looks to have significantly increased after upgrading from 3.2.5 to 4.0.5.  I suppose it could be possible the type of traffic triggering these alerts is different so may be a red herring, but the difference is large enough that I feel it could be a factor.  I noticed too that in the 3.2.5 alert data we have that there are many cases where payload_printable is not present but payload is there.  In our 4.0.5 alert data, I was not able to find such a case.</div><div><br></div><div><br></div><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><span style="color:rgb(0,0,0);font-family:"Helvetica Neue",Helvetica,sans-serif;font-size:small;white-space:nowrap">-- </span></div><div dir="ltr"><span style="color:rgb(0,0,0);font-family:"Helvetica Neue",Helvetica,sans-serif;font-size:small;font-weight:bold;white-space:nowrap">Eric Urban</span><br></div><div dir="ltr"><span style="color:rgb(0,0,0);font-family:"Helvetica Neue",Helvetica,sans-serif;font-size:small;line-height:17.29px;white-space:nowrap">University Information Security | Office of Information Technology | </span><a href="http://it.umn.edu/" style="color:rgb(17,85,204);font-family:"Helvetica Neue",Helvetica,sans-serif;font-size:small;line-height:17.29px;white-space:nowrap" target="_blank">it.umn.edu</a><br style="color:rgb(0,0,0);font-family:"Helvetica Neue",Helvetica,sans-serif;font-size:small;line-height:17.29px;white-space:nowrap"><span style="color:rgb(0,0,0);font-family:"Helvetica Neue",Helvetica,sans-serif;font-size:small;line-height:17.29px;white-space:nowrap">University of Minnesota | </span><a href="http://umn.edu/" style="color:rgb(17,85,204);font-family:"Helvetica Neue",Helvetica,sans-serif;font-size:small;line-height:17.29px;white-space:nowrap" target="_blank">umn.edu</a><br style="color:rgb(0,0,0);font-family:"Helvetica Neue",Helvetica,sans-serif;font-size:small;line-height:17.29px;white-space:nowrap"><a href="mailto:eurban@umn.edu" style="color:rgb(17,85,204);font-family:"Helvetica Neue",Helvetica,sans-serif;font-size:small;line-height:17.29px;white-space:nowrap" target="_blank">eurban@umn.edu</a><font face="verdana, sans-serif" style="color:rgb(136,136,136);font-size:12.8px"><br></font></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>