<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 15, 2017 at 1:46 PM, Aaron Eppert <span dir="ltr">&lt;<a href="mailto:aaron@eppert.co" target="_blank">aaron@eppert.co</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Greetings,<div><br></div><div>In working on authoring a new protocol analyzer plugin I have encountered the following issues:</div><div><br></div><div>1) When adding a new type to be passed to an event handler, thus handled upstream by a protocol analyzer script, types.bif only supports enums. In order to deal with this during build time, I have added custom rule and custom target to augment events.bif.bro before it is installed. </div><div><br></div><div>Am I missing something here? Is there a more streamlined approach for doing this? </div></div></blockquote><div><br></div><div>Add it to init-bare.bro. e.g.: <a href="https://github.com/bro/bro/commit/11ec4903ee0cbd3cdb555c309f67ce399b23e37b#diff-64e7fba4a98f6581a47aa0053e9f03c6" target="_blank">https://github.com/bro/bro/<wbr>commit/<wbr>11ec4903ee0cbd3cdb555c309f67ce<wbr>399b23e37b#diff-<wbr>64e7fba4a98f6581a47aa0053e9f03<wbr>c6</a><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>2) There seems to be an oddity with including an analyzer script along side the plugin. I can see, via loaded_scripts.log, that everything is being loaded properly. However, events are not being fired from the analyzer script loaded from the plugins directory. If I run bro on the command line with an accompanying PCAP, I can see all the appropriate debug I have put into the plugin, but no events fire in the analyzer script. If I run the same command line AND add a different analyzer script that handles the same events, they fire and can be verified via print. </div></div></blockquote><div><br></div><div>I&#39;m not sure I fully understand. So, you have your analyzer, which is generating some events. Then you have a script to handle those events and generate some other events? And those script-generated events aren&#39;t actually being generated?<br></div><div> <br></div><div>  --Vlad<br></div></div></div></div>