<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body dir="auto">
<div>Do you have packet captures and a configuration we can use to reproduce the issue?<br>
<br>
--
<div>Joel Esler</div>
<div>Sent from my iPhone</div>
</div>
<div><br>
On Jun 22, 2014, at 16:04, "Mateusz Pigulski" <<a href="mailto:m.pigulski@...11827...">m.pigulski@...11827...</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div>
<div dir="ltr">Hello, anybody knows this issue ??<br>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">2014-06-17 23:14 GMT+02:00 Mateusz Pigulski <span dir="ltr">
<<a href="mailto:m.pigulski@...11827..." target="_blank">m.pigulski@...11827...</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">
<div class=""><br clear="all">
Hi experts!!!<br>
<br>
I am new user in mailing list and also new in snort, so firstly I want say Hello!!.<br>
I have configured Snort 2.9.6.1 with daq 2.0.2 and pf_ring 5.6.1. I want use snort to capture HTTP POST which are forwarded to my system. I have problem with configuration the output to store the reassembled packets. When size of HTTP POST is larger then 1500,
 I can see in my unified2 file that every tcp segemnt is stored as event and packet, so if HTTP POST consist of 2 tcp segments I have 2 events and 2 packets, from my point of view would be better to have only one event and packet for reassembled packet. I have
 read this thread: <a href="http://seclists.org/snort/2012/q4/758" target="_blank">
http://seclists.org/snort/2012/q4/758</a>, and 2 Years ago it was impossible, so my question is: is it possible to configure in snort 2.9.6.1 output with unified2 to store reassembled packets ??<br>
<br>
</div>
-------------<br>
<div dir="ltr">BR<span class="HOEnZb"><font color="#888888"><br>
Mateusz<br>
</font></span></div>
</div>
</blockquote>
</div>
<br>
<br clear="all">
<br>
-- <br>
<div dir="ltr"><br>
------------<br>
Mateusz<br>
</div>
</div>
</div>
</blockquote>
<blockquote type="cite">
<div><span>------------------------------------------------------------------------------</span><br>
<span>HPCC Systems Open Source Big Data Platform from LexisNexis Risk Solutions</span><br>
<span>Find What Matters Most in Your Big Data with HPCC Systems</span><br>
<span>Open Source. Fast. Scalable. Simple. Ideal for Dirty Data.</span><br>
<span>Leverages Graph Analysis for Fast Processing & Easy Data Exploration</span><br>
<span><a href="http://p.sf.net/sfu/hpccsystems">http://p.sf.net/sfu/hpccsystems</a></span></div>
</blockquote>
<blockquote type="cite">
<div><span>_______________________________________________</span><br>
<span>Snort-users mailing list</span><br>
<span><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...1753...s.sourceforge.net</a></span><br>
<span>Go to this URL to change user options or unsubscribe:</span><br>
<span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br>
<span>Snort-users list archive:</span><br>
<span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></span><br>
<span></span><br>
<span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div>
</blockquote>
</body>
</html>