<div dir="ltr">Thanks for the thoughtful replies Chuck and Seth. <div><br></div><div>I will add this field to my files log and name it &quot;inferred_filename&quot;. For everyone else on the list, I will forward this along when I&#39;m finished.</div>
<div><br></div><div>Seth - I don&#39;t agree with your assumption that I don&#39;t want to see the filename from the URL, I think that this is pretty relevant data, especially when viewed from a security context. I do however agree that one should definitely not &quot;trust&quot; the URL. This is the beauty of Bro - I can add and remove this data at my discretion :-). </div>
<div><br></div><div>Thanks again!!</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 29, 2014 at 8:16 PM, Seth Hall <span dir="ltr">&lt;<a href="mailto:seth@icir.org" target="_blank">seth@icir.org</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class=""><br>
On Apr 29, 2014, at 10:42 PM, Charles A. Fair &lt;<a href="mailto:charles.fair@mac.com">charles.fair@mac.com</a>&gt; wrote:<br>
<br>
&gt; The file analysis framework does not annotate the original file names as I understand it.<br>
<br>
</div>The file analysis framework itself doesn&#39;t do it.  Some of the protocol scripts poke forward into files transferred and annotate the files log with a file name if a suitable one was found.<br>
<div class="HOEnZb"><div class="h5"><br>
  .Seth<br>
<br>
--<br>
Seth Hall<br>
International Computer Science Institute<br>
(Bro) because everyone has a network<br>
<a href="http://www.bro.org/" target="_blank">http://www.bro.org/</a><br>
<br>
</div></div></blockquote></div><br></div></div>