I notice that there is a show_rebuilt_packets option in steam5_global configuration, which I have turned on but don't know if it is producing anything. I run snort on some traffic collected on a web/dns/mysql server using -r flag. The log shows that snort filters out the server's response and keeps only the inbound traffic - I am not sure if this behaviour is because of the stream 5 processor or else?<br>
<br>
<div class="gmail_quote">On Fri, Mar 14, 2008 at 12:56 AM, Joel Esler <<a href="mailto:joel.esler@...1935...">joel.esler@...1935...</a>> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div style="WORD-WRAP: break-word">Again, a visit to the readme's in the doc/ directory should help you.  Look up "log_flushed_streams" in the stream4 readme.   
<div><br></div>
<div>Joel</div>
<div><br>
<div>
<div>
<div>
<div></div>
<div class="Wj3C7c">
<div>On Mar 13, 2008, at 2:36 AM, Kamran Shafi wrote:</div><br></div></div>
<blockquote type="cite">
<div>
<div></div>
<div class="Wj3C7c">
<div>Hi All,</div>
<div> </div>
<div>Is there a way to log the reassembled (TCP/UDP/ICMP) sessions in Snort?<br clear="all"><br>-- <br>Regards<br></div>
<div>Kam</div></div></div>-------------------------------------------------------------------------<br>This SF.net email is sponsored by: Microsoft<br>Defy all challenges. Microsoft(R) Visual Studio 2008.<br><a href="http://clk.atdmt.com/MRT/go/vse0120000070mrt/direct/01/_______________________________________________" target="_blank">http://clk.atdmt.com/MRT/go/vse0120000070mrt/direct/01/_______________________________________________</a><br>
Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></blockquote></div><br><font color="#888888">
<div><span style="WORD-SPACING: 0px; FONT: 14px Helvetica; TEXT-TRANSFORM: none; COLOR: rgb(0,0,0); TEXT-INDENT: 0px; WHITE-SPACE: normal; LETTER-SPACING: normal; BORDER-COLLAPSE: separate">
<div style="WORD-WRAP: break-word"><span style="WORD-SPACING: 0px; FONT: 12px Helvetica; TEXT-TRANSFORM: none; COLOR: rgb(0,0,0); TEXT-INDENT: 0px; WHITE-SPACE: normal; LETTER-SPACING: normal; BORDER-COLLAPSE: separate"><span style="WORD-SPACING: 0px; FONT: 12px Helvetica; TEXT-TRANSFORM: none; COLOR: rgb(0,0,0); TEXT-INDENT: 0px; WHITE-SPACE: normal; LETTER-SPACING: normal; BORDER-COLLAPSE: separate">
<div style="WORD-WRAP: break-word">
<div><br>--</div>
<div>Joel Esler  <a href="mailto:joel.esler@...1935..." target="_blank">joel.esler@...1935...</a></div>
<div><br></div></div></span><br></span><br></div></span></div><br></font></div></div></div></blockquote></div><br><br clear="all"><br>-- <br>Regards<br>Kamran