<div dir="ltr"><div><br></div><div>I am taking a bunch of rules built by the organization (not me) and trying to convert them over to Suricata</div><div><br></div><div><br></div><div>One issues is alot of rules are saying unknown rule keyword 'stream_reassemble' and i know that Snort has that keyword, but does not look like Suricat does. </div><div><br></div><div>Second is offset for snort the numbers can be <span style="color:rgb(0,0,0);font-family:"Times New Roman";font-size:medium">-65535 to 65535.  For Suricata is says </span></div><div><span style="color:rgb(0,0,0);font-family:"Times New Roman";font-size:medium">18446744073709551604 > 65535.  This had -12 offset.  </span></div><div><span style="color:rgb(0,0,0);font-family:"Times New Roman";font-size:medium"><br></span></div><div><span style="color:rgb(0,0,0);font-family:"Times New Roman";font-size:medium">http_method pattern with trailing space is another.  </span></div><div><span style="color:rgb(0,0,0);font-family:"Times New Roman";font-size:medium"><br></span></div><div><span style="color:rgb(0,0,0);font-family:"Times New Roman";font-size:medium">http_method or http_uri Keyword seen with a sticky buffer still set.  Reset sticky buffer with pkt_data before using the modifier.  </span></div><div><br></div><div><font color="#000000" face="Times New Roman" size="3">Cant really post the the full rules, but I might be albe to provide a little more data, or if sometone can point to some better explanations on what to look at in the rule as for the above errors</font></div><div><font color="#000000" face="Times New Roman" size="3"><br></font></div><div><br></div><div><br></div></div>