packetpool: improve thread safety

 lock_acquire: Calling pthread_mutex_lock acquires lock PktPoolLockedStack_.mutex.
 87        SCMutexLock(&my_pool->return_stack.mutex);

CID 1554228: (#1 of 1): Indefinite wait (BAD_CHECK_OF_WAIT_COND)
dead_wait: A wait is performed without ensuring that the condition is not already satisfied while holding lock PktPoolLockedStack_.mutex. This can cause a deadlock if the notification happens before the lock is acquired.
      Acquire the lock, then check the wait condition in a loop, without releasing with the lock before the wait. This will prevent deadlocks and failed conditions from spurious wakeups.

detect/loader: add threading coverity warning

 lock_acquire: Calling pthread_mutex_lock acquires lock ThreadVars_.ctrl_mutex.
725        SCCtrlMutexLock(th_v->ctrl_mutex);

CID 1554214: (#1 of 1): Indefinite wait (BAD_CHECK_OF_WAIT_COND)
dead_wait: A wait is performed without ensuring that the condition is not already satisfied while holding lock ThreadVars_.ctrl_mutex. This can cause a deadlock if the notification happens before the lock is acquired.
      Acquire the lock, then check the wait condition in a loop, without releasing with the lock before the wait. This will prevent deadlocks and failed conditions from spurious wakeups.

flow/manager: fix threading/locking coverity warnings

In flow manager and recycler timed condition wait loops.

First check loop break conditions before entiring the timed wait.

CID 1638284: (#1 of 1): Indefinite wait (BAD_CHECK_OF_WAIT_COND)
dead_wait: A wait is performed without ensuring that the condition is not already satisfied while holding lock flow_manager_ctrl_mutex. This can cause a deadlock if the notification happens before the lock is acquired.

CID 1638293: (#1 of 1): Indefinite wait (BAD_CHECK_OF_WAIT_COND)
dead_wait: A wait is performed without ensuring that the condition is not already satisfied while holding lock flow_recycler_ctrl_mutex. This can cause a deadlock if the notification happens before the lock is acquired.

defrag: improve thread safety in config logging

CID 1554235: (#1 of 1): Data race condition (MISSING_LOCK)
missing_lock: Accessing defragtracker_spare_q.len without holding lock DefragTrackerStack_.m. Elsewhere, DefragTrackerStack_.len is written to with DefragTrackerStack_.m held 2 out of 2 times.

datasets: use locking wrappers everywhere

To assist coverity, which got confused:

CID 1649393: (#1 of 1): Data race condition (MISSING_LOCK)
missing_lock: Accessing sets without holding lock sets_lock. Elsewhere, sets is written to with sets_lock held 2 out of 3 times.

eve/schema: map mdns properties that have keywords

Also add descriptions for the EVE index.

rules: add mdns rules

.gitignore: don't ignore rule files in rules/

These are rules we want to track edits to, as well as new and removed
files.

doc/install: use our recommended header order

doc/userguide: remove example with CentOS 7

CentOS 7 is EOL.

Ticket: #7749

doc/userguide: break out package installation

Break out RPM, Debian, and Ubuntu package installation into their own
pages.

Also break out other distributions like "Arch" into an "Other" section
with a note about how those packages are not supported by the OISF.

Ticket: #6252
Ticket: #6069

doc/userguide: add appendix item on eve schema

Add some basic documentation on our EVE schema, mainly to show users
that it exists.

lua: don't accept a table as a return value from match

Remove the half finished support for accepting a table returned from a
Lua rule's match function. This is not documented, not tested, and not
really implemented.

Also, use lua_tointeger to get the return value from the match function
as an integer instead of a float.

Ticket: #6941

detect/entropy: Clarify when entropy is logged

Clarify when entropy values are logged and associated with non-alert log
records.

decode: add stats counters for ipv4/ipv6 over ipv4

These existed for ipv6 over ipv6, and ipv4 over ipv6, but not for the
ipv4 counterpart.

Task #7758

decode/ipv6: set packet flow in ip-in-ip

Bug #7752

detect/analyzer: Extend analyzer output with dsize value info

Issue: 6357

datasets: remove useless NULL check

Coverity did detect that the cleaning code is only reached with
Dataset *set being initialized so the check is useless.

** CID 1649392:       Null pointer dereferences  (REVERSE_INULL)
/src/datasets-context-json.c: 719           in DatajsonGet()
>>>     Null-checking "set" suggests that it may be null, but it has
already been dereferenced on all paths leading to the check.

** CID 1649391:       Null pointer dereferences  (REVERSE_INULL)
/src/datasets.c: 526           in DatasetGet()
>>>     Null-checking "set" suggests that it may be null, but it has
already been dereferenced on all paths leading to the check.

datasets: remove unreachable code

As the DatasetGetOrCreate function is called before the creation
of the hash, it will never be available so we can remove the
cleaning.

util/mpm: grow state queue on demand

Ticket: 7678

util/mpm: factorize code

mpm: allocate StateQueue on the heap for ks

Completes commit 92fce2fdc069324e6060ce046ca80da6a351573c

Ticket: 6264

doc/install: windows build documentation

Ticket: #5911

configure: display if we have npcap support

rust: fix prototype for AppLayerParserTriggerRawStreamInspection

Ticket: 7762

As it modifies the flow indeed

rust: remove unnecessary cbindgen exclusions

util/mpm: constify arg

and make rust version use the correct integer type

Ticket: 7762

util/mtu: Avoid excessive ioctls for MTU

Issue: 7643

Use the cached livedev MTU value, when available.

pcap-log: fix memory leak on error paths after SCStrdup(prefix)

When PcapLogDataCopy() fails after duplicating pl->prefix,
the allocated 'prefix' string was not freed, leading to a leak.

Ticket: 7759

windows: use _tzname instead of tzname

tzname is a POSIX variable, WIN32 has prefixed many POSIX variables
with "_". While Mingw64 supports both, UCRT64 emits a compiler warning
on the usage of "tzname".

This triggered a rather large clang-format update.

github-ci: add windows ucrt build

MSYS2 now recommends the UCRT environment as the default, so we should
probably add a CI job for it.

doc/code-style: add rust; minor cleanups

- Add small section on Rust code, and Rust code exposed to FFI.
- Other minor cleanups.

Ticket: #7078
Ticket: #6955

doc/userguide/code-style: update header ordering

To match our recommended header ordering.

version: start development towards 8.0.0

release: 8.0.0-rc1; update changelog

detect/dataset: skip adding localstatedir if fullpath is provided

When the option to set a full path is enabled and a full path is
provided, skip adding the prefix (based on localstatedir) to the
directory since it would be unexpected and unwanted by a user.

Ticket: 7083

datajson: limit impact of feature for non user

The det_ctx structure was inflated by the additoin of the array to
handle JSON context. This commit updates the code to use a growing
buffer and limit the impact.

detect/alert: optimize context cleanup

Don't always loop over each alert, but only do so if context was used.

lua: update to lua 5.4.8002

This updated crates remove tmpnam from being linked in, removing the
warning.

packet: micro optimization in packet recycling

detect: move large array to bottom of detect thread ctx

detect/pcre: add needed casts

datajson: add needed cast

datajson: fix include in header

detect: remove some useless tests

doc/userguide: fix some typos

packet: optimize json context cleaning

We don't need to recycle the full alert array. This is going to
optimize packet recycle time.

decode: light refactor on packet cleaning

datasets: improve lock handling

DatasetGetOrCreate should now be called with the dataset lock
hold so the lock management is easier to read.

detect/dataset: fix locking on datajson

detect/dataset: check context_key validity

As context_key is an user entry and as it is used to build the JSON
string of alert, we could end up with an invalid event if the string
contains improper characters.

eve/alert: add comment about string format

detect/pcre: fix error handling

detect/engine: put datajson related code in a func

datasets: use SCLogError for errors

detect/engine: remove unused keyword

datasets: comment to specify usage of field

decode: use pointer for PacketContextData

By adding a pointer instead of the structure in the alert info
we spare some memory.

decode: rename ExtraDataJsonList

datasets: comments about format

datasets: rename function

DatasetCreateOrGet was in fact doing get or create.

datasets: fix error handling in StringSet

datasets: factorize set operation

datasjson: fix include barrier name

detect/pcre: fix copyright date

datajson: key length fix

When using type string, we should not limit the size of the string.

This patch also fixes some implicit cast issues.

datajson: value_key is necessary in json format

doc/userguide: enrichment_key is now context_key

datajson: rename enrichment_key to context_key

datajson: factorize code

Code was duplicated and a build error was reported so factorizing
was the best way to clean it.

datajson: add sanity check on length

Also cast to avoid compilation error.

datajson: use systematic allocation

datajson: more explicit memory handling

doc/userguide: fix some typos

Suggestions from Juliana.

Co-authored-by: Juliana Fajardini Reichow <jufajardini@gmail.com>

eve/schema: fix ordering

datasets: remove comment about unused return value

datajson: simplify memory handling

DatajsonAdd function is now responsible of the handling of the mem
of datajsontype passed as argument.

datajson: use wrapper

datajson: fix potential leak in error handling

datajson: remove unnecessary abstraction

github: upload scan-build artifacts

datajson: use more broadly supported formatter

datajson: fix formatting

datasets: factorize dataset creation

Factorize DatasetGet and DatajsonGet to only have the difference
between the two in the respective function.

datasets: separate DatasetGet in 2 functions

This will be used to factorize the code with datajson.

datasets/context: rename the datajson files

They are is renamed to datasets-context-json.* so we see that
it is about context and not about a new datasets type.

doc/userguide: jsonline is now standard ndjson

datajson: rename jsonline to ndjson

doc/userguide: improve datajson doc

datajson: output context to "context"

Using `alert.extra` was not really reflecting the nature of what
was added. So renaming it to `alert.context`.

datajson: fix thread safety violation

datajson: reduce size length

datajson: fix string format in error message

eve/schema: remove reference to datajson

doc/userguide: remove left over datajson reference

doc/userguide: improve datajson doc

Patch adds ``remove_key`` option and clarifies the text.

datajson: add remove_key option to dataset

This option allows to remove the key corresponding to the match
value from the JSON object before creating the JSON object that
will be added to the `extra` data.

For example, matching on the following JSON on the `ip` key:

```json
{"ip": "10.16.1.11", "test": "success", "context":3}
```

with a match like:

```
dataset:isset,src_ip,type ip,load src.lst,format jsonline,enrichment_key src_ip,value_key ip;
```

will produce the following:

```json
"extra": {
  "src_ip": {
    "ip": "10.16.1.11",
    "test": "success",
    "context": 3
  }
```

if we add the `remove_key` option to the match:

```
dataset:isset,src_ip,type ip,load src.lst,format jsonline,enrichment_key src_ip,value_key ip, remove_key;
```

it will produce the following:

```json
"extra": {
  "src_ip": {
    "test": "success",
    "context": 3
  }
```

The option is set to false by default.

Ticket: #7372

doc/userguide: basic doc for jsonline format

datajson: implement jsonline format

This format allows to use a one valid JSON object per line in the
data file.

Ticket: #7372

datajson: prepare jsonline format

There is just a change in the iterator to go from json to jsonline
so let's factorize the parsing functions.

Ticket: #7372