<div dir="ltr">One free option you might want to try  is Trisul (<a href="http://trisul.org">trisul.org</a>). This pulls  together the alert-flows-packets workflow  at the UI. You can just  ask it to give you a single PCAP containing all flows that generated a particular alert. <div>

<br></div><div style>It is basically a flow based packet retrieval system, but does it in bulk instead of one by one. You can certainly hack the tools mentioned by Shawn and add a bulk packet retrieval capability too. </div>
<div style><br></div><div style><br></div><div style><br></div><div><br></div><div><div><br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, May 23, 2014 at 9:53 PM, Jefferson, Shawn <span dir="ltr"><<a href="mailto:Shawn.Jefferson@...14448..." target="_blank">Shawn.Jefferson@...14448...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Personally, I think the only good "free" solution to this is combining Snort with some sort of full packet capture.  I personally use both streamDB and OpenFPC, and have hacked BASE to allow lookup to both of these.  Snorby can use both of them (although last I checked only one or the other) in a similar manner.<br>

<div class="HOEnZb"><div class="h5"><br>
-----Original Message-----<br>
From: Turnbough, Bradley E. [mailto:<a href="mailto:bturnbough@...15820....">bturnbough@...15650...</a>]<br>
Sent: May 21, 2014 6:26 AM<br>
To: Snortusers<br>
Subject: Re: [Snort-users] Tagging<br>
<br>
Hi Matheus,<br>
<br>
I've asked almost this exact question before and didn't really receive a decent response.<br>
<br>
I have a sensor sitting in between my proxy and my internet connection.  The IDS alerts on various things, but it only provides the data that trips the alert.  It doesn't provide the preceeding 'x' number of packets that contain the metadata.  Makes it very difficult to troubleshoot if you can't determine the 'x-forwarded-for'.<br>

<br>
<br>
________________________________<br>
From: Matheus Condi'ez [<a href="mailto:conma293@...11827...">conma293@...11827...</a>]<br>
Sent: Tuesday, May 20, 2014 11:07 PM<br>
To: Snortusers<br>
Subject: [Snort-users] Tagging<br>
<br>
Hey guys,<br>
<br>
Im beginning to muddle around with tagging, can seemingly get the rules to fire off quite easily and tag 'full' packets for x amount of time, bytes etc ...<br>
<br>
But then this gets lumped into the U2 files and processed by Barnyard2 --> what im wondering is how the packets in addition to the alerting packet get processed by BY2 output so that it would come up as the whole payload in a snorby or tripwire interface...<br>

<br>
any takers?<br>
_____________________________________________________________ This e-mail transmission contains information that is confidential and may be privileged. It is intended only for the addressee(s) named above. If you receive this e-mail in error, please do not read, copy or disseminate it in any manner. If you are not the intended recipient, any disclosure, copying, distribution or use of the contents of this information is prohibited. Please reply to the message immediately by informing the sender that the message was misdirected. After replying, please erase it from your computer system. Your assistance in correcting this error is appreciated.<br>

<br>
------------------------------------------------------------------------------<br>
"Accelerate Dev Cycles with Automated Cross-Browser Testing - For FREE Instantly run your Selenium tests across 300+ browser/OS combos.<br>
Get unparalleled scalability from the best Selenium testing platform available Simple to use. Nothing to install. Get started now for free."<br>
<a href="http://p.sf.net/sfu/SauceLabs" target="_blank">http://p.sf.net/sfu/SauceLabs</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<br>
------------------------------------------------------------------------------<br>
"Accelerate Dev Cycles with Automated Cross-Browser Testing - For FREE<br>
Instantly run your Selenium tests across 300+ browser/OS combos.<br>
Get unparalleled scalability from the best Selenium testing platform available<br>
Simple to use. Nothing to install. Get started now for free."<br>
<a href="http://p.sf.net/sfu/SauceLabs" target="_blank">http://p.sf.net/sfu/SauceLabs</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br></div>