Yes use daemonlogger. Also use openfpc (<a href="http://openfpc.org">openfpc.org</a>) to provide an interface for that and use snorby too to tie it together with snort alerting. Make sure you have plenty space (or roll over after a certain amount). If you have the capacity to store it all and have an idea of why you want to do this (do you want to carve all files out and automatically process them for malicious artifacts, do you want to look at more detail for events surrounding the attack which I guess you do etc). Hoping to store all traffic however with the intention of just "looking through it" for suspicious stuff would be a waste of your time without clues pointing you to where you should look. I.e <a href="http://blog.damballa.com/?p=1113">http://blog.damballa.com/?p=1113</a> :-) <br>
<br>I always hope that a happy middle ground would be reached that could provide the packet capture for not only the alert but also surrounding sessions between the client and the attacker (not using traffic tagging in the rule options) and also all files related to it (EXEs, PDFs, Flash content etc) so you had much better forensic data without having to give up huge amounts of disk space to store it all....<br>
<br>Kind Regards,<br>Kevin Ross<br><br><br><div class="gmail_quote">On 14 February 2012 04:28, umakanta majhi <span dir="ltr"><<a href="mailto:umakantmajhi@...11827...">umakantmajhi@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
in ids mode snort alerts the packets as per the rules assigned and logs it. my  Q is , is it possible to capture all the packets including these alerted packets, separately<div class="HOEnZb"><div class="h5"><div><br></div>
<div><br><br><div class="gmail_quote">
On Mon, Feb 13, 2012 at 8:21 PM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div style="word-wrap:break-word">I'm not clear what you mean by "effected" packets?<div><br></div><div>Can you clarify here?</div><div><br></div><div><div>--</div><div>Joel Esler</div><div>Senior Research Engineer, VRT</div>

<div>OpenSource Community Manager</div><div>Sourcefire</div><div><br></div><div><div><div>On Feb 13, 2012, at 2:14 AM, umakanta majhi wrote:</div><br></div><blockquote type="cite"><div>hi all <div><br>
</div><div>can any one tell how we can log both normal packets and effected packets in IDS mode????</div><div><br></div></div><span><font color="#888888">

-- <br>
To post to this group, send email to <a href="mailto:snortusers@...15342....." target="_blank">snortusers@...14071...</a><br>
 <br>
 <br>
Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</font></span></blockquote></div><span><font color="#888888"><br></font></span></div></div><span><font color="#888888">

<p></p>

-- <br>
To post to this group, send email to <a href="mailto:snortusers@...15342....." target="_blank">snortusers@...14071...</a><br>
 <br>
 <br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</font></span></blockquote></div><br></div>

<p></p>

-- <br>
To post to this group, send email to <a href="mailto:snortusers@...15342....." target="_blank">snortusers@...14071...</a><br>
 <br>
 <br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</div></div></blockquote></div><br>