<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
        <br>
        I tried many times, add, remove every options: type_id,
    signature to test if preprocessor can detect something but no luck,
    nothing in snort exit stat.<br>
        The nearest test result with type_id, signature on:<br>
        - configuration I tried:<br>
        exactly like document:<br>
    <br>
        <i>preprocessor file_inspect: type_id, signature, \</i><i><br>
    </i><i>                capture_disk /home/file_capture/tmp/, \</i><i><br>
    </i><i>                capture_queue_size 5000</i><br>
    <br>
        - snort say that file_inspect maybe good:<br>
       <i> File config:</i><i><br>
    </i><i>    file type: ENABLED</i><i><br>
    </i><i>    file signature: ENABLED</i><i><br>
    </i><i>    file capture: ENABLED</i><i><br>
    </i><i>    file capture directory: /home/file_capture/tmp/</i><i><br>
    </i><i>    file capture disk size: 300 (Default) megabytes</i><i><br>
    </i><i>    file sent to host: DISABLED (Default), port number: 0</i><i><br>
    </i><i><br>
    </i><i>    File service: file type enabled.</i><i><br>
    </i><i>    File service: file signature enabled.</i><i><br>
    </i><i>    File service: file capture enabled.</i><i><br>
    </i><i>    File capture thread started tid=0x7f5add080700
      (pid=20478)</i><br>
        <br>
        - After uploading, downloading a pdf, a pcap, and a zip file,
    exit stats are:<br>
     <i>   File Preprocessor Statistics</i><i><br>
    </i><i>  Total file type callbacks:            0</i><i><br>
    </i><i>  Total file signature callbacks:       0</i><i><br>
    </i><i>  Total files would saved to disk:      0</i><i><br>
    </i><i>  Total files saved to disk:            0</i><i><br>
    </i><i>  Total file data saved to disk:        0         bytes</i><i><br>
    </i><i>  Total files duplicated:               0</i><i><br>
    </i><i>  Total files reserving failed:         0</i><i><br>
    </i><i>  Total file capture min:               0</i><i><br>
    </i><i>  Total file capture max:               0</i><i><br>
    </i><i>  Total file capture memcap:            0</i><i><br>
    </i><i>  Total files reading failed:           0</i><i><br>
    </i><i>  Total file agent memcap failures:     0</i><i><br>
    </i><i>  Total files sent:                     0</i><i><br>
    </i><i>  Total file data sent:                 0</i><i><br>
    </i><i>  Total file transfer failures:         0</i><i><br>
    </i><i>===============================================================================</i><i><br>
    </i><i>Files processed: none</i><i><br>
    </i><i>===============================================================================</i><br>
    <br>
    Thanks<br>
    <div class="moz-cite-prefix">On 12/2/2015 4:26 PM, Y M wrote:<br>
    </div>
    <blockquote
cite="mid:CY1PR17MB0170C39185FFB0DBB30F6768A80E0@...17346..."
      type="cite">
      <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
      <div id="compose" style="padding-left: 16px; padding-right: 16px;
        padding-bottom: 8px;" contenteditable="true">
        <div>Do you have file type and file signature enabled? For
          instance, I don't see the type_id in the preprocessor
          configurations you posted. </div>
        <div><br>
        </div>
        <div>Documentation says that capturing depends on type and
          signature being enabled, I.e: Unknown file types will not be
          captured.</div>
        <div><br>
        </div>
        <div>YM<br>
          <br>
          <div class="acompli_signature">Sent from Mobile</div>
          <br>
        </div>
      </div>
      <div class="gmail_quote">_____________________________<br>
        From: Lương Minh Tuấn <<a moz-do-not-send="true" dir="ltr"
          href="mailto:not.soledad@...11827..."
          x-apple-data-detectors="true"
          x-apple-data-detectors-type="link"
          x-apple-data-detectors-result="0">not.soledad@...11827...</a>><br>
        Sent: Wednesday, December 2, 2015 11:09 AM<br>
        Subject: Re: [Snort-users] preprocessor file_inspect does not
        capture file<br>
        To: Y M <<a moz-do-not-send="true" dir="ltr"
          href="mailto:snort@...15979..." x-apple-data-detectors="true"
          x-apple-data-detectors-type="link"
          x-apple-data-detectors-result="2">snort@...15979...</a>><br>
        Cc: <<a moz-do-not-send="true" dir="ltr"
          href="mailto:snort-users@lists.sourceforge.net"
          x-apple-data-detectors="true"
          x-apple-data-detectors-type="link"
          x-apple-data-detectors-result="3">snort-users@lists.sourceforge.net</a>><br>
        <br>
        <br>
        <meta content="text/html; charset=utf-8">
        Hi YM,    <br>
            file_captrue_min and file_capture_max is set with default
        value, 0 and 1GB. the path in capture_disk exist with full
        permission (I set to 777 for testing). README.file says that
        with block of config which I posted, snort can capture any file,
        but in my case, it does not work. <br>
             I tried using signature in file_magic.conf to write a
        normal rule, snort detect ok, and with keyword tag, i can even
        capture all file in tcpdump.
        <br>
            <br>
            <br>
        <br>
        <div class="moz-cite-prefix">On 12/2/2015 2:16 PM, Y M wrote: <br>
        </div>
        <blockquote>
          <div id="compose" style="padding-left: 16px; padding-right:
            16px; padding-bottom: 8px;">
            <div>I haven't played enough with the file_inspect
              preprocessor but what is the size of the file in relation
              to things like "file_capture_min", "file_capture_max"?
            </div>
            <div><br>
            </div>
            <div>Also, does the path in "capture_disk" exist? </div>
            <div><br>
            </div>
            <div>Finally, as far as I understand, only those files that
              have their hashes in the black or grey lists will be
              captured. Please anyone, correct me if I am wrong.
            </div>
            <div><br>
            </div>
            <div>YM <br>
              <br>
              <div class="acompli_signature">Sent from Mobile </div>
              <br>
            </div>
          </div>
          <div class="gmail_quote">_____________________________ <br>
            From: Lương Minh Tuấn < <a moz-do-not-send="true"
              dir="ltr" href="mailto:not.soledad@...11827...">not.soledad@...11827...</a>>
            <br>
            Sent: Wednesday, December 2, 2015 9:46 AM <br>
            Subject: [Snort-users] preprocessor file_inspect does not
            capture file <br>
            To: < <a moz-do-not-send="true" dir="ltr"
              href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>>
            <br>
            <br>
            <br>
            Hi everybody, <br>
            I had problem when using file_inspect to capture file send
            over <br>
            FTP. Please help me resolv. Here's my Snort info: <br>
            - Server OS: <br>
            $cat /etc/redhat-release <br>
            CentOS Linux release 7.1.1503 (Core) <br>
            - Snort version: 2.9.7.6, build options:
            --enable-file-inspect <br>
            --enable-open-appid --enable-sourcefire <br>
            - configuration file: <br>
            exactly from snortrules-snapshot-2976.tar.gz, add
            file_inspect <br>
            config as discuss in README.file: <br>
            include file_magic.conf <br>
            preprocessor file_inspect: signature, \ <br>
            capture_queue_size 5000, \ <br>
            capture_disk /home/file_capture/tmp/ <br>
            <br>
            Snort does not detect or process any file, here's my exit
            stat: <br>
            File Preprocessor Statistics <br>
            Total file type callbacks: 0 <br>
            Total file signature callbacks: 0 <br>
            Total files would saved to disk: 0 <br>
            Total files saved to disk: 0 <br>
            Total file data saved to disk: 0 bytes <br>
            Total files duplicated: 0 <br>
            Total files reserving failed: 0 <br>
            Total file capture min: 0 <br>
            Total file capture max: 0 <br>
            Total file capture memcap: 0 <br>
            Total files reading failed: 0 <br>
            Total file agent memcap failures: 0 <br>
            Total files sent: 0 <br>
            Total file data sent: 0 <br>
            Total file transfer failures: 0 <br>
            ===============================================================================
            <br>
            Files processed: none <br>
            <br>
            I tried to build snort v2.9.7.0, 2.9.6.2 and latest 2.9.8.0
            but no <br>
            luck. Please help me! <br>
            <br>
            Thanks and best regards! <br>
            -- <br>
            Lương Minh Tuấn <br>
            Email: <a moz-do-not-send="true" dir="ltr"
              href="mailto:not.soledad@...11827...">not.soledad@...11827...</a>
            <br>
            Skype: minhtuan208 <br>
            <br>
            <br>
            ------------------------------------------------------------------------------
            <br>
            Go from Idea to Many App Stores Faster with Intel(R) XDK <br>
            Give your users amazing mobile app experiences with Intel(R)
            XDK. <br>
            Use one codebase in this all-in-one HTML5 development
            environment. <br>
            Design, debug & build mobile apps & 2D/3D
            high-impact games for multiple OSs. <br>
            <a moz-do-not-send="true" dir="ltr"
href="http://pubads.g.doubleclick.net/gampad/clk?id=254741911&iu=/4140">http://pubads.g.doubleclick.net/gampad/clk?id=254741911&iu=/4140</a>
            <br>
            _______________________________________________ <br>
            Snort-users mailing list <br>
            <a moz-do-not-send="true" dir="ltr"
              href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a>
            <br>
            Go to this URL to change user options or unsubscribe: <br>
            <a moz-do-not-send="true" dir="ltr"
              href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
            <br>
            Snort-users list archive: <br>
            <a moz-do-not-send="true" dir="ltr"
href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>
            <br>
            <br>
            Please visit <a moz-do-not-send="true" dir="ltr"
              href="http://blog.snort.org">http://blog.snort.org</a> to
            stay current on all the latest Snort news!
            <br>
            <br>
          </div>
        </blockquote>
        <br>
        <br>
        <br>
      </div>
    </blockquote>
    <br>
    <pre class="moz-signature" cols="72">
</pre>
  </body>
</html>