<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <p>Eric, et. al,</p>
    <p>Do you think it is still justifiable to have a separate "target"
      keyword or would it make more sense to leverage the "metadata"
      keyword to store this information, and encourage rule writers to
      put it there?  Personally, I'm more in favor of the latter since
      the metadata keyword is already used to store rule classification
      information, and at this point the "target" keyword seems like a
      confusing "one-off" feature.  And if rule writers haven't
      incorporated using the "target" keyword by this point, it
      shouldn't be too painful to tell them to stick it in the metadata
      keyword instead.<br>
    </p>
    <p>-David</p>
    <p><br>
    </p>
    <div class="moz-cite-prefix">On 7/15/19 4:44 PM, Champ Clark III
      wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:1940199243.11494792.1563223475939.JavaMail.zimbra@quadrantsec.com">
      <pre class="moz-quote-pre" wrap="">
First off, thank you for the response....

</pre>
      <blockquote type="cite">
        <pre class="moz-quote-pre" wrap="">This can be solved by using the target keyword that indicate which side
is the bad side. Rules writers seems not to have picked it (bad rules
writers) and that is a shame. Yes, please use this, it is trivial when
writing rules !
</pre>
      </blockquote>
      <pre class="moz-quote-pre" wrap="">

Thinking about it,  I really should have considered the "metadata" keyword from the beginning. I'll definitely move the options there.  This allows for a lot more flexibility. 

I was not aware of the "target" keyword.  I just did a quick test and the "target" was nicely recorded in the EVE output.  However, I'm not sure if I will need it.  As you pointed out, it isn't used very often.  In fact,  I could not find one "target" keyword used in the ET rule set.

Again,  thank you for the advice!

</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <pre class="moz-quote-pre" wrap="">_______________________________________________
Suricata IDS Users mailing list: <a class="moz-txt-link-abbreviated" href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a>
Site: <a class="moz-txt-link-freetext" href="http://suricata-ids.org">http://suricata-ids.org</a> | Support: <a class="moz-txt-link-freetext" href="http://suricata-ids.org/support/">http://suricata-ids.org/support/</a>
List: <a class="moz-txt-link-freetext" href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a>

Conference: <a class="moz-txt-link-freetext" href="https://suricon.net">https://suricon.net</a>
Trainings: <a class="moz-txt-link-freetext" href="https://suricata-ids.org/training/">https://suricata-ids.org/training/</a></pre>
    </blockquote>
  </body>
</html>