<div dir="ltr">Hi,<br><div><br></div><div>I'm trying out the geoip feature. I have -</div><div>1. The libgeoip1 and libgeoip-dev installed.</div><div>2. Configured Suricata with "--enable-geoip" and have verified it by running "suricata --build-info".</div><div>3. Updated path to maxmind db in suricata.yaml</div><div><br></div><div>I'm editing the following signature -</div><div><font color="#666666">alert http any any -> any any (msg:"SURICATA HTTP unable to match response to request"; flow:established,to_client; app-layer-event:http.unable_to_match_response_to_request; flowint:http.anomaly.count,+,1; classty    pe:protocol-command-decode; sid:2221010; rev:1; <b><u>geoip:any, US, UK;</u></b>)</font><br></div><div><br></div><div>While loading rules, Suricata errors out and doesn't load this rule-</div><div><font color="#666666">8/10/2019 -- 12:12:21 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - Signature combines packet specific matches (like dsize, flags, ttl) with stream / state matching by matching on app layer proto (like using http_* keywords).<br>8/10/2019 -- 12:12:21 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert http any any -> any any (msg:"SURICATA HTTP unable to match response to request"; flow:established,to_client; app-layer-event:http.unable_to_match_response_to_request; flowint:http.anomaly.count,+,1; classtype:protocol-command-decode; sid:2221010; rev:1; geoip:any, US, UK;)" from file /etc/suricata/rules/http-events.rules at line 20</font><br></div><div><br></div><div>Any idea what I'm missing?</div><div><br></div><div>Thanks,</div><div>Nafisa</div><div><br></div></div>