stats: improve sync signalling

Make syncs more reliable by using a atomic "sync now" variable and
signalling the conditions under lock.

Ticket: #6569.

stats: turn sync macros into functions

flow: fix condition signalling

Signal threads while holding lock. This should make the signalling
more reliable.

From PTHREAD_COND(3):

"Unlocking the mutex and suspending on the condition variable is done
 atomically. Thus, if all threads always acquire the mutex before
 signaling the condition, this guarantees that the condition cannot be
 signaled (and thus ignored) between the time a thread locks the
 mutex and the time it waits on the condition variable."

Ticket: #6569.

ippair: fix minor coverity warning

CID 1554232:  Data race undermines locking  (LOCK_EVASION)

Ticket #6565.

host: fix minor coverity warning

CID 1554240:  Data race undermines locking  (LOCK_EVASION)

detect/xbits: fix coverity warning

CID 1554237 and CID 1554233

Basically make the code easier to reason with for coverity
without changing the behavior which was fine.

packetpool: signal condition within lock

Completes: dc40a139acb3 ("packetpool: signal waiter within lock")

packetpool: dynamic return threshold

Problem:

In pcap autofp mode, there is one threads reading packets (RX). These packets
are then passed on to worker threads. When these workers are done with a
packet, they return packets to the pcap reader threads packet pool, which is
the owner of the packets. Since this requires expensive synchronization between
threads, there is logic in place to batch this operation.

When the reader thread depletes its pool, it notifies the other threads that
it is starving and that a sync needs to happen asap. Then the reader enters
a wait state. During this time no new packets are read.

However, there is a problem with this approach. When the reader encountered
an empty pool, it would set an atomic flag that it needed a sync. The first
worker to return a packet to the pool would then set this flag, sync, and
unset the flag. This forced sync could result in just a single packet being
synchronized, or several. So if unlucky, the reader would just get a single
packet before hitting the same condition again.

Solution:

This patch updates the logic to use a new approach. Instead of using a
binary flag approach where the behavior only changes when the reader is
already starved, it uses a dynamic sync threshold that is controlled by
the reader. The reader keeps a running count of packets it its pool,
and calculates the percentage of available packets. This percentage is
then used to set the sync threshold.

When the pool is starved, it sets the threshold to 1 (sync for each packet).
After each successful get/sync the threshold is adjusted.

calloc: Use nmemb with SCCalloc

This commit modifies calls to SCCalloc that had a member count of 1 and
a size count calculated as: element_count * sizeof(element).

memory/alloc: Use SCCalloc instead of malloc/memset

detect: SigMatchAppendSMToList can fail

Ticket: #6104

And failures should be handled to say that the rule failed to load

Reverts the fix by 299ee6ed5561f01575150b436d5db31485dab146
that was simple, but not complete (memory leak),
to have this bigger API change which simplifies code.

output/krb5: have krb5 properties in alerts

Ticket: 5977

output/tftp: have tftp properties in alerts

Ticket: 6501

output/ftp: have ftp properties in alerts

Ticket: 6500

output/alert: rewrite code for app-layer properties

Especially fix setup-app-layer script to not forget this part

This allows, for simple loggers, to have a unique definition
of the actual logging function with the jsonbuilder.
This way, alerts, files, and app-layer event can share the code
to output the same data.

Ticket: #3827

rust: remove unused

Ticket: #4083

detect: header_lowercase transform

Ticket: 6290

af-xdp: detach XDP program early

To mitigate a bug with AF_XDP sockets in high traffic scenarios, the XDP program must be detatched before
the sockets are closed. This issue happens when large ammounts of traffic are sent to suricata and
the XDP program is not removed before AF_XDP sockets are closed. I believe this is a race
condition bug as detailed here: https://bugzilla.kernel.org/show_bug.cgi?id=217712

Further investigation shows this may be a bug exclusive to the driver/AMD processor combination.

This commit addresses the bug by ensuring the first thread to run the deinit function
removes the XDP program, which fixes the bug as detailed in the bugzilla link.

Bug #6238

detect/stream_size: fix prefiltering registration

Ticket: #6551

doc: update file.data keyword documentation

Signed-off-by: jason taylor <jtfas90@gmail.com>

rule-reload: Release excess memory freed during engine reload

The hot reload results in large chunks of memory being freed as the
as the old signature tables are discarded. Help the memory management
system along by telling to release as much memory as it can at this
point.

Bug: #6454.

examples: add an example plugin of an eve filetype

This is an example of what adding plugin examples to the Suricata repo
could look like.

This plugin is an example plugin for an EVE filetype. It could be
extended to support outputs like Redis, syslog, etc.

There is one issue with adding plugins like this to an autotools
project, the project can't be built with --disable-shared, which is
more of an autotools limitation, and not really a Suricata issue.
Suricata built with --disable-shared will load plugins just fine.

Note that the examples directory was added as DIST_SUBDIRS as we don't
want normal builds to recurse into it and attempt to build the plugin,
its just an example, but we still need to keep distcheck happy.

userguide: update tls not_after/not_before mentions

Our tls fields not_after and not_before are actually logged as
`notafter` and `notbefore`, but were documented with the underscore.

Update the documentation, since updating the log format itself would be
a breaking change.

Task #5494

userguide: document flow_id, with examples

Flow_id explanation expanded from version shared by Peter Manev.

Task #6445

github-ci: don't add author names/emails to new author comment

The new author details will still be available in the artifact, we're
just not calling them out in a nighly visible pull request comment.

github-ci: cancel previous builds workflow for branch

On a push of the same branch, cancel the previous running builds.yml
workflow.

bool: Remove TRUE/FALSE

debug/bool: Switch use_color to a bool

run/bool: Use bool for threading value

htp/bool: Use bool instead of int

detect/bool: Use bool type for unittests

prefilter/bool: Use bool values for is_last

pcap/bool: Use bool type for is_private

stream/bool: Use bool for StreamTcpInlineMode

general/bool: Change Suricata int to bool

Change Suricata operational values from int to bool.

general/bool: Use bool for file support

general: Use bool instead of int for condition fns

This commit changes the conditional logging functions to use bool rather
than int values.

util-memcmp: Convert unittests to new FAIL/PASS API

Ticket: #6107

detect: fix typo

detect: add mqtt.connect.protocolstring

Ticket:  OISF#6396

mpm: thread ctx cleanups

Remove unused thread ctx' from AC variants

Use single thread store in detection.

Minor cleanups.

detect/tag: reuse result of previous host lookup

Minor optimization that could lead to a reduction in host table
lookups if more than one host feature is in use.

doc/userguide: add tag keyword page

Ticket: #3015.

doc/userguide: document host table yaml settings

unittests: free packet using PacketFree

Update SigTest17 which left a dangling pointer.

detect: fix inspect engine return codes

Use proper inspect engine codes instead of bool.

detect/flow: optimize only_stream/no_stream options

Until now the implementation would scan the stream, fallback to the
packet payload in exception cases, then keep track of where the match
was and in the flow match logic reject the match if it was in the wrong
buffer.

This patch simplifies this logic, by refusing to inspect the packet
payload when `only_stream` is set.

To do this the `only_stream`/`no_stream` options are now translated
to the pseudo protocols `tcp-stream` and `tcp-pkt` at parsing, so that
the `flow` keyword doesn't have to evaluate these conditions anymore.

http2: app-layer event for userinfo in uri

Ticket: #6426

as per RFC 9113
":authority" MUST NOT include the deprecated userinfo subcomponent
for "http" or "https" schemed URIs.

detect/transform: Clarify transformation validation

Issue: 6439

Clarify the transform validation step. When a transform indicates that
the content/byte-array is not compatible, validation will stop.

Content is incompatible is some cases -- e.g., following the
to_lowercase transform with content containing uppercase characters.
An alert is not possible since the content contains uppercase and the
transform has converted the buffer into all lowercase.

detect/transform: Register case-change transforms

Issue: 6439

doc/transform: Document case-changing transforms.

Issue: 6439

detect/transform: Add case changing transforms

This commit adds the implementation for the case changing transforms:
to_lowercase and to_uppercase

Issue: 6439

detect/transform: Add case-change transform constants

Add the constants for the to_lowercase and to_uppercase transforms

Issue: 6439

detect/tenants: Add tenant context to rule loads

Issue: 1520

This commit adds the tenant id for context to rule and .config file
loads.

general: Remove vi formatting directives

output/null: Add the null output device

This commit adds the null output device; to use, set the filetype
to "nullsink" for each output that should discard and never persist
logs/alerts/etc.

This is implemented as an "internal eve output plugin" just like the
syslog eve output type.

napatech: update docs to remove hba reference

napatech: remove deprecated hba support

detect: adds flow integer keywords

Ticket: #6164

flow.pkts_toclient
flow.pkts_toserver
flow.bytes_toclient
flow.bytes_toserver

doc: quic in eve/schema

Ticket: #6076

version: start work on 8.0.0

macset: remove dead flow init/cleanup code

FlowInit() will only be called on a newly allocated, or a fully cleaned
up flow, so no existing storage will exist.

The only caller of `FLOW_RECYCLE` first calls `FlowFreeStorage()`, so
the reset logic in `FLOW_RECYCLE` can never trigger.

Remove now unused MacSetReset logic.

detect/flow: fix DETECT_FLOW_FLAG_ESTABLISHED check

Ticket: #6448

github-ci: Fedora 37 to 39; use packaged cbindgen

outputs: call plugin ThreadDeinit, not Deinit

With the change to the hash table for tracking threaded loggers, this
call is now called once per thread, so should be changed to the
ThreadDeinit, as that is not longer being called.

Then call Deinit for the primary logger. In threaded mode this would be
the parent, its just the logger in non-threaded mode.

Bug: #6438

eve: remove some dead code

http2: normalize host when there is user info

Ticket: 6479

http2: update brotli crate

Fixes debug assertion found by oss-fuzz:
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=63144

http2: event on mismatch between authority and host

Ticket: #6425

detect: parse units for integers

Ticket: #6423

Especially for filesize, instead of just a number, a signature
can use a number and a unit such as kb, mb or Gb

doc/rule-profiling: fix suricatasc typo

privs: refactor SCGetUser/GroupID to void functions

SCGetUserID/SCGetGroupID either FatalErrored out or
returned zero. As a result, the functions got refactored
into non-returning void functions.

privs: hint the user of unset user/group name

Ticket: #6278

packetpool: signal waiter within lock

Needed for predictable scheduling. From pthread_cond_signal man page:

"The pthread_cond_signal() or pthread_cond_broadcast() functions may
 be called by a thread whether or not it currently owns the mutex that
 threads calling pthread_cond_wait() or pthread_cond_timedwait() have
 associated with the condition variable during their waits; however, if
 predictable scheduling behaviour is required, then that mutex is locked
 by the thread calling pthread_cond_signal() or pthread_cond_broadcast()."

packetpool: return one packet as well on sync now

If a thread is hitting the packet pool return on a 'sync_now' return
the packet also if it is the first packet since the last flush.

Bug: #6435.

packetpool: remove WaitForN logic as it is unused

flow/timeout: no need to wait for packetpool

The timeout logic no longer passes packets around, so don't depend
on the packet pool.

Bug: #6292.

host/iprep: run all timeout logic

Run all timeout logic if iprep is in use as well.

Minor code cleanups.

Bug: #6436.

detect/urilen: fix discontinue matching logic

Actually discontinue matching.

Fixes: 21f9cc3a39a0 ("discontinue matching on buffer if urilen returns a match failure.")

detect/bytetest: convert unittests to FAIL/PASS

Issue: #6332

dns/eve: make removed v1 style a warning, not an error

We don't error out in this case, but instead default to v2. So use a
warning instead of an error.

dns/eve: use default formats if formats is empty

If the configuration field "formats" is empty, DNS response records do
not have any relevant information other than that there was a
response, but not much about the response.

I'm pretty sure the intention here was to log the response details if
no formats were provided, which is what happens when the field is
commented out.

So if no formats are specified, use the default of all.

Bug: #6420

detect/bytejump: convert unittests to FAIL/PASS

Issue: #6328

runmodes: remove obsolete references to pcap auto modes

These auto modes were remove many years ago. Also cleanup the wording
a little.

Task: #6427

detect/bytejump: Improve end-of-buffer handling

Issue: 4623

This commit addresses the issues reported in issue 4623 when the jump
value points at the last byte in the buffer.

detect/bytejump: Remove unused "Match" function

Issue: 4623

DetectBytejumpMatch is no longer used -- it's counterpart --
DetectByteJumpDoMatch is and will remain.

unix-manager: prioritize the shutdown check

Make sure Suricata is in the running state before
you attempt to execute commands on the Unix sockets.
UnixMain is being called in an infinite loop where
TmThreadsCheckFlag(th_v, THV_KILL) is checked for the
deinit phase. However, it may take some time between
the start of Suricata's deinitialization and
the receipt of THV_KILL flag in the Unix thread.

In between this time period, the Unix manager can still
perform select() operation on the Unix socket while
the socket being already deinitialized.

Likely with a longer time span between the initial shutdown
command and actual closing of Unix sockets resulted in
an error of invalid file descriptors.

Ticket: #6272

github: improve template CLA request info

Indicate that the CLA only has to be signed once, as we have had
contributors think that was required for each new PR.

userguide: add proper label to RPM install section

Use a reference label that is stable, instead of one that could change
in case a new section is added above it.

detect-tcp-window: Convert unittests to new FAIL/PASS API

Task #6339

flow-bit: Convert unittests to new FAIL/PASS API

Task #6329

util-misc: Convert unittests to new FAIL/PASS API

Task #6345

misc: improve code documentation

Task #6383

rust: remove cbindgen:ignore on frames module

This directive is no longer required, and does
mess up the rustdoc description of the module.

rust/doc: add docstring to rust module files.

Issue: #4584

doc: be consistent with the use of "sudo"

Issue: #5720

version: start development towards 7.0.3

release: 7.0.2; update changelog

mime: avoid quadratic complexity in MimeDecAddEntity

Ticket: #6306

Keep a reference to last child, consume a bit more RAM to save CPU

detect: error early when too many buffers

Ticket: #6104

To get a chance to clean properly, before we leak memory.