Turns out this was still unresolved.  We're opening a bug.   Thanks for reporting it.<br><br><div class="gmail_quote">On Mon, Jun 6, 2011 at 12:27 PM, Russ Combs <span dir="ltr"><<a href="mailto:rcombs@...3007......">rcombs@...402...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">We've already got one or two related bug fixes on logging / tagging for 291.  I'll see if it addresses this issue.<div>
<div></div><div class="h5"><br><br><div class="gmail_quote">On Mon, Jun 6, 2011 at 11:55 AM, beenph <span dir="ltr"><<a href="mailto:beenph@...2499..." target="_blank">beenph@...2499...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div>On Mon, Jun 6, 2011 at 11:32 AM, Steven Sturges <<a href="mailto:ssturges@...2277...." target="_blank">ssturges@...402...</a>> wrote:<br>


> I see what you're getting at there... I was thinking you were<br>
> talking about the correlation of multiple packet events to the<br>
> related event data itself.<br>
><br>
> It looks like a bug that CallLogFuncs shouldn't set change that<br>
> data if the event is from a TAG event.  We'll look into it.<br>
><br>
> -s<br>
<br>
</div>The ultimate goal is to make correlation easyer by a process reading<br>
unified2 file (in this case barnyard2) but this could apply to other<br>
unified2 readers also<br>
But lets say i want to correlate, and that i assume that  snort<br>
internal event_id<br>
can wrap, i need more variables to generate my key but in this context<br>
if we use time<br>
(generated event time) its obviously gonna miss in the case of tagged packets.<br>
<br>
I didin't look if there was other cases where this could happen but i<br>
assume its possible.<br>
<br>
Would it be logical for snort to write to unified2 file when an event<br>
is no longer valid, sort of like<br>
an outside pruning mechanism that would allow unified2 readers to be<br>
aware that an event is no longer<br>
being referenced by the IDS process?<br>
<div><div></div><div><br>
-elz<br>
<br>
------------------------------------------------------------------------------<br>
Simplify data backup and recovery for your virtual environment with vRanger.<br>
Installation's a snap, and flexible recovery options mean your data is safe,<br>
secure and there when you need it. Discover what all the cheering's about.<br>
Get your free trial download today.<br>
<a href="http://p.sf.net/sfu/quest-dev2dev2" target="_blank">http://p.sf.net/sfu/quest-dev2dev2</a><br>
_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net" target="_blank">Snort-devel@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
</div></div></blockquote></div><br>
</div></div></blockquote></div><br>