Hi,<div><br></div><div>I want to explain a problem that we have while adapting our Unified2 parser to the new extra-data fields.</div><div><br></div><div>The problem is that when you want to parse the vents in real time you don't have a way to know if the Event will have an ExtraData later in the file. </div>
<div><br></div><div>Example:</div><div><br></div><div><div>(Event)</div><div>  1663     sensor id: 0    event id: 31    event second: 1337848659    event microsecond: 228367</div><div>  1664     sig id: 99999   gen id: 1   revision: 1  classification: 0</div>
<div>  1665     priority: 0 ip source: 188.40.16.205    ip destination: 192.168.2.183</div><div>  1666     src port: 80    dest port: 49892    protocol: 6 impact_flag: 0  blocked: 0</div><div>  1667 </div><div>  1668 Packet</div>
<div>  1669     sensor id: 0    event id: 31    event second: 1337848659</div><div>  1670     packet second: 1337848659   packet microsecond: 228367</div><div>  1671     linktype: 1 packet_length: 1506</div><div><br></div>
<div>...</div><div>...</div><div><br></div><div><div>1768 (ExtraDataHdr)</div><div>  1769     event type: 4   event length: 62</div><div>  1770 </div><div>  1771 (ExtraData)</div><div>  1772     sensor id: 0    event id: 14    event second: 1337848659</div>
<div>  1773     type: 9 datatype: 1 bloblength: 38  HTTP URI: /forums/showthread.php?t=57055</div><div>  1774 </div><div>  1775 (ExtraDataHdr)</div><div>  1776     event type: 4   event length: 50</div><div>  1777 </div><div>
  1778 (ExtraData)</div><div>  1779     sensor id: 0    event id: 14    event second: 1337848659</div><div>  1780     type: 10    datatype: 1 bloblength: 26  HTTP Hostname: <a href="http://www.howtoforge.com">www.howtoforge.com</a></div>
<div>  1781 </div><div>  1782 (ExtraDataHdr)</div><div>  1783     event type: 4   event length: 62</div><div>  1784 </div><div>  1785 (ExtraData)</div><div>  1786     sensor id: 0    event id: 15    event second: 1337848659</div>
<div>  1787     type: 9 datatype: 1 bloblength: 38  HTTP URI: /forums/showthread.php?t=57055</div><div>  1788 </div><div>  1789 (ExtraDataHdr)</div><div>  1790     event type: 4   event length: 50</div><div>  1791 </div><div>
  1792 (ExtraData)</div><div>  1793     sensor id: 0    event id: 15    event second: 1337848659</div><div>  1794     type: 10    datatype: 1 bloblength: 26  HTTP Hostname: <a href="http://www.howtoforge.com">www.howtoforge.com</a></div>
</div><div><br></div><div>...</div><div><br></div><div><br></div><div>So, is there a way of knowing if an Event will have an ExtraData entry later?</div><div><br></div><div>Best Regards</div><div><br></div>-- <br>_______________________________<br>
<br>Jaime Blasco<div><br></div><div>AlienVault Labs Manager<br><br><a href="http://www.ossim.com" target="_blank">www.ossim.com</a><br><a href="http://labs.alienvault.com" target="_blank">labs.alienvault.com</a><br>Email: <a href="mailto:jaime.blasco@...3060..." target="_blank">jaime.blasco@...3060...</a><br>
<br><a href="http://twitter.com/jaimeblascob" target="_blank">http://twitter.com/jaimeblascob</a><br></div><br>
</div>