<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=utf-8">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    I believe I have found an error in the manual.snort.org
    documentation for the unified2 output. Specifically, the <a
      href="http://manual.snort.org/node44.html#SECTION00632000000000000000">structure
      for Unified2 Packet records</a> is currently:<br>
    <br>
    <pre>    sensor id               4 bytes
    event id                4 bytes
    event seconds           4 bytes
    event microseconds      4 bytes
    linktype                4 bytes
    packet length           4 bytes
    packet data             <variable length></pre>
    <br>
    The actual output of my device (currently running 2.9.7.3) is more
    accurately represented by:<br>
    <br>
    <pre>    sensor id               4 bytes
    event id                4 bytes
    event second            4 bytes    
    packet second           4 bytes
    packet microsecond      4 bytes
    linktype                4 bytes
    packet length           4 bytes
    packet data             <variable length></pre>
    <br>
    The <a
href="https://github.com/jasonish/snort/blob/master/src/sfutil/Unified2_common.h#L135">c
      header</a> seems to support this belief. It's a small thing but
    could save headaches for the next person crazy enough to start
    parsing the unified2 output themselves :)<br>
    <br>
    Regards,<br>
    fearnothing<br>
    github.com/scherma<br>
  </body>
</html>