<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Well,  the below alerts are preprocessor alerts from the http_inspect preprocessor.  <div><br></div><div>The biggest problem that I see is that you are using 2.3.3, which is many many versions old.</div><div><br></div><div>That would be the first step.</div><div><br></div><div>Joel</div><div><br></div><div><br></div><div><div><div>On Aug 4, 2008, at 6:25 AM, Adam D. Barratt wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div>Hi,<br><br>We're running snort 2.3.3-11 on Debian etch, and for the past few days the<br>cron.daily job has been generating a number of "Warning, file may be<br>incomplete" messages.<br><br>After a little experimentation, it appears that this is due to<br>/var/log/snort/alert containing the "header" line for a number of alerts<br>repeated (either that or the remaining data from the first item being lost);<br>for example:<br><br>[...]<br>[[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]]<br>[[**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**]]<br>[...]<br><br>Does anyone know what causes this, and whether it's anything we need to be<br>worried about?<br><br>Cheers,<br><br>Adam <br><br><br>-------------------------------------------------------------------------<br>This SF.Net email is sponsored by the Moblin Your Move Developer's challenge<br>Build the coolest Linux based applications with Moblin SDK & win great prizes<br>Grand prize is a trip for two to an Open Source event anywhere in the world<br><a href="http://moblin-contest.org/redirect.php?banner_id=100&url=/">http://moblin-contest.org/redirect.php?banner_id=100&url=/</a><br>_______________________________________________<br>Snort-users mailing list<br>Snort-users@...974...rceforge.net<br>Go to this URL to change user options or unsubscribe:<br>https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users list archive:<br>http://www.geocrawler.com/redir-sf.php3?list=snort-users<br></div></blockquote></div><br><div apple-content-edited="true"> <span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Times; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: 'Lucida Sans'; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div><div><div><div><br>--</div><div>Joel Esler</div><div>  <a href="http://blog.joelesler.net">http://blog.joelesler.net</a></div><div>  <a href="http://www.dearcupertino.com">http://www.dearcupertino.com</a></div><div>[m]</div></div><br><br></div></div></div></div></span></div></span></div></span> </div><br></div></body></html>