<div dir="ltr">I've set the file permissions for GeoLite2-Country.mmdb to -rwxrwxrwx, it still shows the signature parsing error.<div><br></div><div>I'm guessing this error has something to do with loading the signatures and not accessing the db.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 9, 2019 at 8:24 AM Cloherty, Sean E <<a href="mailto:scloherty@mitre.org">scloherty@mitre.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US">
<div class="gmail-m_5756088835608949905WordSection1">
<p class="MsoNormal">Did you give suri permissions to the file?<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><b>From:</b> Oisf-users <<a href="mailto:oisf-users-bounces@lists.openinfosecfoundation.org" target="_blank">oisf-users-bounces@lists.openinfosecfoundation.org</a>>
<b>On Behalf Of </b>Nafisa Mandliwala<br>
<b>Sent:</b> Tuesday, October 8, 2019 3:27 PM<br>
<b>To:</b> <a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a><br>
<b>Subject:</b> [EXT] [Oisf-users] Geoip<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal">Hi,<u></u><u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">I'm trying out the geoip feature. I have -<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">1. The libgeoip1 and libgeoip-dev installed.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">2. Configured Suricata with "--enable-geoip" and have verified it by running "suricata --build-info".<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">3. Updated path to maxmind db in suricata.yaml<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">I'm editing the following signature -<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="color:rgb(102,102,102)">alert http any any -> any any (msg:"SURICATA HTTP unable to match response to request"; flow:established,to_client; app-layer-event:http.unable_to_match_response_to_request; flowint:http.anomaly.count,+,1; classty
    pe:protocol-command-decode; sid:2221010; rev:1; <b><u>geoip:any, US, UK;</u></b>)</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">While loading rules, Suricata errors out and doesn't load this rule-<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="color:rgb(102,102,102)">8/10/2019 -- 12:12:21 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - Signature combines packet specific matches (like dsize, flags, ttl) with stream / state matching by matching on app layer proto (like
 using http_* keywords).<br>
8/10/2019 -- 12:12:21 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert http any any -> any any (msg:"SURICATA HTTP unable to match response to request"; flow:established,to_client; app-layer-event:http.unable_to_match_response_to_request;
 flowint:http.anomaly.count,+,1; classtype:protocol-command-decode; sid:2221010; rev:1; geoip:any, US, UK;)" from file /etc/suricata/rules/http-events.rules at line 20</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Any idea what I'm missing?<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Thanks,<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Nafisa<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>
</div>
</div>

</blockquote></div>