<div dir="ltr"><div>1285862632.803262/1434571577.132267 [dpd] TCPRS[101422] DeliverPacket(0, T, 9005, 0x7fff0d41bf80, 0) []<br>1285862632.803262/1434571577.132274 [dpd] TCP_ApplicationAnalyzer ignoring DeliverPacket(0, T, 9005, 0x7fff0d41bf80, 0) []<br><br></div>Are these two lines related? I&#39;m stuck. I&#39;ve run bro with GDB attached using a simple trace file and TCPRS_Analyzer::DeliverPacket never seems to be entered. <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jun 17, 2015 at 1:26 PM, James Swaro <span dir="ltr">&lt;<a href="mailto:james.swaro@gmail.com" target="_blank">james.swaro@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">In Analyzer.cc, there is a quick check for  &#39;if (skip)&#39; . How does this variable get set?<br></div><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote">On Wed, Jun 17, 2015 at 10:30 AM, James Swaro <span dir="ltr">&lt;<a href="mailto:james.swaro@gmail.com" target="_blank">james.swaro@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>If I understand the patch correctly, it would only cause problems for connections with over 2GB of data payload, but I think it should work fine for a small trace of say 200KB. I&#39;m not seeing any events at all, nor am I seeing the log files that should be created when using the analyzer. <br><br></div>I&#39;ll correct the functions and test it out though. <br></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Wed, Jun 17, 2015 at 10:10 AM, Vlad Grigorescu <span dir="ltr">&lt;<a href="mailto:vlad@grigorescu.org" target="_blank">vlad@grigorescu.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span>On Wed, Jun 17, 2015 at 9:45 AM, James Swaro <span dir="ltr">&lt;<a href="mailto:james.swaro@gmail.com" target="_blank">james.swaro@gmail.com</a>&gt;</span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><span><span><div>&gt; Just a guess, but it could be related to this: <a href="https://github.com/bro/bro/blob/master/CHANGES#L1578" target="_blank">https://github.com/bro/bro/blob/master/CHANGES#L1578</a><br></div></span></span><span>I&#39;m looking, but nothing seems to pop out at me. <br><span><br>&gt; The other big change was moving to plugins, but if you&#39;re seeing it
 added as a child analyzer, that doesn&#39;t sound like it&#39;d be the issue.</span><div><div><div>It seems to be ok. Did data delivery change from DeliverPacket to something else? <br></div><div><span><br>&gt; Was this analyzer written in BinPAC, or in C++?<br></span>It was written in C++. </div></div></div></span></div></blockquote><div><br></div><div>Well, what I meant with that change was that the functions used for data delivery changed. Specifically:</div><div><br></div><div>Analyzer::{NextPacket, NextUndelivered, ForwardPacket, ForwardUndelivered, DeliverPacket, Undelivered} were modified to change the int seq parameter to a uint64. If your functions aren&#39;t updated, and are expecting a plain old int for the sequence number, I&#39;ve seen the scenario you describe: the analyzer attaches, but doesn&#39;t function.</div><span><font color="#888888"><div><br></div><div>  --Vlad</div><div><br></div></font></span></div></div></div>
</blockquote></div><br><br clear="all"><br></div></div><span><font color="#888888">-- <br><div><div dir="ltr"><div><div>James Swaro<b><br></b></div><div><br></div><div><br></div></div></div></div>
</font></span></div>
</blockquote></div><br><br clear="all"><br></div></div><span class="HOEnZb"><font color="#888888">-- <br><div><div dir="ltr"><div><div>James Swaro<b><br></b></div><div><br></div><div><br></div></div></div></div>
</font></span></div>
</blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div><div>James Swaro<b><br></b></div><div><br></div><div><br></div></div></div></div>
</div>