<div dir="ltr">On Mon, Nov 5, 2018 at 4:40 PM Robin Sommer &lt;<a href="mailto:robin@corelight.com">robin@corelight.com</a>&gt; wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
On Sat, Nov 03, 2018 at 21:58 +0000, Vlad Grigorescu wrote:<br>
<br>
&gt; In my mind, if the keyword is applied to a record, I would expect any new<br>
&gt; fields added to that record to also be logged.<br>
<br>
I believe the reason for not doing that is that then one couldn&#39;t add<br>
a field that&#39;s *not* being logged (because currently we don&#39;t have<br>
remove-an-attribute support).<br></blockquote><div><br></div><div>Yeah, I think the reasoning makes sense, and that seemed to be the consensus from the discussion on bro-dev in 2011. My point is simply that with the current behavior, it&#39;s not clear (or, AFAICT, documented) that adding &amp;log to a record is just a shorthand for adding &amp;log to each attribute, and that it really has no meaning for the record as a whole.</div><div><br></div><div>  --Vlad<br></div><div></div><div><br></div><div> </div></div></div>