<div dir="ltr">Apologies for resurrecting an old thread.<div><br></div><div>I&#39;m wondering if anyone has given any further thought to or done any work on this. While looking at BIT-1480 (adding ERSPAN decapsulation support), I was reminded of what a mess Sessions.cc currently is. I think moving towards passing a Packet structure around would help to simplify things a lot - possibly by breaking up the code into per-protocol classes.</div><div><br></div><div>Curious to hear any thoughts. Thanks,</div><div><br></div><div>  --Vlad</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 7, 2015 at 4:17 PM, Thomas, Eric D <span dir="ltr">&lt;<a href="mailto:edthoma@sandia.gov" target="_blank">edthoma@sandia.gov</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That sounds good! Both ideas seem to add an interesting level of<br>
additional flexibility and analytic potential.<br>
<span class="HOEnZb"><font color="#888888">--<br>
Eric Thomas<br>
<a href="mailto:edthoma@sandia.gov">edthoma@sandia.gov</a><br>
</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
<br>
<br>
On 4/29/15, 4:59 PM, &quot;Robin Sommer&quot; &lt;<a href="mailto:robin@broala.com">robin@broala.com</a>&gt; wrote:<br>
<br>
&gt;What if we did a combination of what I suggested and your thoughts<br>
&gt;here? We carry link-level features through to script-land inside the<br>
&gt;connection record, and in addition allowed to transfer a custom subset<br>
&gt;over to the connection ID for hashing? The latter could be done later<br>
&gt;as a second step.<br>
&gt;<br>
&gt;Robin<br>
&gt;<br>
&gt;On Tue, Apr 28, 2015 at 18:32 +0000, you wrote:<br>
&gt;<br>
&gt;&gt; Hi Robin,<br>
&gt;&gt;<br>
&gt;&gt; I thought more about your generalized idea and would like to follow up.<br>
&gt;&gt;To<br>
&gt;&gt; start, adding link-level features to the connection ID hash, while<br>
&gt;&gt;perhaps<br>
&gt;&gt; useful in some contexts, does not provide us the functionality we<br>
&gt;&gt;desire.<br>
&gt;&gt; I have an incoming feed of VLAN-tagged traffic (both VLAN and 802.1ah)<br>
&gt;&gt; with perhaps dozens of different VLANs, and I would like to handle the<br>
&gt;&gt; connections differently in scripts but also mainly in offline log<br>
&gt;&gt;analysis<br>
&gt;&gt; depending upon which VLANs the traffic is associated with.<br>
&gt;&gt;<br>
&gt;&gt; Initially I had proposed simply adding the VLAN Ids to the conn.log<br>
&gt;&gt;file,<br>
&gt;&gt; but that is certainly too specific of a solution. What are your thoughts<br>
&gt;&gt; on exposing link-level features at the script layer for connections? For<br>
&gt;&gt; example, if all observed VLAN tags for a connection were in a set<br>
&gt;&gt;variable<br>
&gt;&gt; of the script-level Connection record, I could then label my data by<br>
&gt;&gt; matching VLAN Ids, then process them differently accordingly. Thoughts?<br>
&gt;&gt;<br>
&gt;<br>
&gt;<br>
&gt;--<br>
&gt;Robin Sommer * Broala, LLC * <a href="mailto:robin@broala.com">robin@broala.com</a> * <a href="http://www.broala.com" rel="noreferrer" target="_blank">www.broala.com</a><br>
<br>
<br>
_______________________________________________<br>
bro-dev mailing list<br>
<a href="mailto:bro-dev@bro.org">bro-dev@bro.org</a><br>
<a href="http://mailman.icsi.berkeley.edu/mailman/listinfo/bro-dev" rel="noreferrer" target="_blank">http://mailman.icsi.berkeley.edu/mailman/listinfo/bro-dev</a><br>
</div></div></blockquote></div><br></div>