<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<div>
<div>Hello Maxim,</div>
<div><br>
</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>Please see the section under the snort3 manual for loggers:</div>
<div><br>
</div>
<div><a href="https://s3.amazonaws.com/snort-org-site/production/release_files/files/000/004/860/original/snort_manual.html?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1483618124&Signature=4RZ4GTblHk9jmFlDhjHddxo%2BA28%3D#_logger_modules">https://s3.amazonaws.com/snort-org-site/production/release_files/files/000/004/860/original/snort_manual.html?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1483618124&Signature=4RZ4GTblHk9jmFlDhjHddxo%2BA28%3D#_logger_modules</a></div>
<div><br>
</div>
<div><br>
</div>
<div>Its impossible to say what the issue is without a copy of your configuration. </div>
<div><br>
</div>
<div>Attached is a basic config that should log any tcp packet.</div>
<div><br>
</div>
<div>All I did was run it with this below:</div>
<div><br>
</div>
<div>./bin/snort -c etc/snort/maxim.lua -r /home/alewis/Downloads/CURL.pcap -l .</div>
<div><br>
</div>
<div><br>
</div>
<div>And it produced log files as these (unified log is there):</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div>alewis@...17722...:/var/tmp/snort++$ ls</div>
<div>alert_full.txt  bin  core  etc  include  lib  log_codecs.txt  share  unified2.log</div>
<div>alewis@...17722...:/var/tmp/snort++$ </div>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Maxim <<a href="mailto:hittlle@...7427...">hittlle@...7427...</a>><br>
<span style="font-weight:bold">Date: </span>Thursday, January 5, 2017 at 3:19 AM<br>
<span style="font-weight:bold">To: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[SUSPECTED SPAM] [Snort-users] snort3.0 doesn't log the triggering packet of an alert<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div>
<div style="line-height:1.7;color:#000000;font-size:14px;font-family:Arial">
<div>Hi snort experts,</div>
<div>    I just tried snort 3.0, and found that it doesn't log the triggering packet of an alert if I use unified2 logger. Is it a bug or am I missing any required configurations? It's very different from snort 2.9.8.0. Many thanks.</div>
</div>
<br>
<br>
<span title="neteasefooter">
<p> </p>
</span></div>
</div>
</span></span>
</body>
</html>