I apologize for confusion. My question is not about URI truncation but is about logging URI request on alerts triggered by server responses. Why are URIs logged when error 500 occurs and not when is 414?<br><br>Today, I've detected an alert with full URI that was triggered by error 414 so I think URIs were not logged due to memory insufficiency or any other reason. Maybe I is due to a low memcap. And yes, URI was 2048 chars length.<br>
<br>Thank you<br><br>PS: "Un saludo" means "Regards" in spanish. It isn't my name ;)<br><br><div class="gmail_quote">2012/5/31 Bhagya Bantwal <span dir="ltr"><<a href="mailto:bbantwal@...14182....." target="_blank">bbantwal@...1935...</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Un saludo,<br>
<br>
The URI is truncated before logging to u2. There is no alert when URI<br>
is too long. The alert 119:25 is for long hostname.<br>
<br>
If you have an URI that is not being logged, you can send us the pcap for it.<br>
<br>
Thanks!<br>
<br>
-B<br>
<div><div class="h5"><br>
On Tue, May 22, 2012 at 7:55 AM, Nelo Belda <<a href="mailto:nbelda@...846....11827...">nbelda@...11827...</a>> wrote:<br>
> Hi all,<br>
><br>
> I realized a behaviour in Snort that I want to share with all of you. Snort<br>
> is now logging URI and Hostname as Extra Data but, what if URI is too long?<br>
> I've seen alerts related with error 500 that uri is present but when alert<br>
> is 414 (URI too long) there's no extra data.<br>
><br>
> I've made a patch in BASE to show Extra Data Info and tried with u2spewfoo<br>
> as well but it seems that in this case it's not logged. That post says:<br>
><br>
> "When a HTTP Request URI is greater than 2048 or when a HTTP hostname<br>
> (specified in the "Host" Request header) is greater than 256, Snort will log<br>
> the truncated the URI and/or hostname. A preprocessor alert with GID:119 and<br>
> SID:25 is generated when hostname exceeds 256 bytes."<br>
><br>
> Where is truncated? How can I get Extra Data of a "URI Too Long" alert? Is<br>
> it logged in that case?<br>
><br>
> Best regards<br>
> Un saludo<br>
><br>
</div></div>> ------------------------------------------------------------------------------<br>
> Live Security Virtual Conference<br>
> Exclusive live event will cover all the ways today's security and<br>
> threat landscape has changed and how IT managers can respond. Discussions<br>
> will include endpoint security, mobile security and the latest in malware<br>
> threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort<br>
> news!<br>
</blockquote></div><br><div style id="wrtranslator-translate"><a target="_blank" href="http://www.wordreference.com/es/translation.asp?tranword=Why%20are%20URIs%20logged%20when%20error%20500%20occurs%20and%20not%20when%20#article">Traduce</a></div>