Hi,<br><br>You mention that you have small traffic - how much memory does Suricata use? how many rules do you load?<br><br>thank you<br><br><div class="gmail_quote">On Fri, Nov 30, 2012 at 3:50 AM, xbadou xbadou <span dir="ltr"><<a href="mailto:xbadou@gmail.com" target="_blank">xbadou@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thank you very much.<div><br></div><div>But I want to known, whether I can do something to limit the max memory usage of suricata. Because I just have very small  network traffic.  I think 4 GB is maybe enough to me. I just want suricata keep alive if it can't get more memory. Or suricata do some memory clean jobs if it can't allocate more memory.</div>

<div><br></div><div>If suricata get a segfault very offen, I think I may need a watchdog to watch this and restart it.</div><div class="HOEnZb"><div class="h5"><div> <br><br><div class="gmail_quote">On Fri, Nov 30, 2012 at 10:26 AM, Marcos Rodriguez <span dir="ltr"><<a href="mailto:marcos.e.rodriguez@gmail.com" target="_blank">marcos.e.rodriguez@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br><br><div class="gmail_quote"><div>On Thu, Nov 29, 2012 at 8:23 PM, xbadou xbadou <span dir="ltr"><<a href="mailto:xbadou@gmail.com" target="_blank">xbadou@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Yes, I am running debian 5 with kernel 2.6.31.14  32bit。 And the system ram size is 2GB*2.<div><br></div><div>So, if it is really this issue. How can I avoid this coredump happen? Can I change some settings in the suricata.yaml file?</div>



<div>  </div><div>Thanks.</div></blockquote><div><br></div><div><br></div></div><div>At the bottom of the suricata.yaml file, you'll find this section:</div><div><br></div><div># Suricata core dump configuration. Limits the size of the core dump file to</div>


<div># approximately max-dump. The actual core dump size will be a multiple of the</div><div># page size. Core dumps that would be larger than max-dump are truncated. On</div><div># Linux, the actual core dump size may be a few pages larger than max-dump.</div>


<div># Setting max-dump to 0 disables core dumping.</div><div># Setting max-dump to 'unlimited' will give the full core dump file.</div><div># On 32-bit Linux, a max-dump value >= ULONG_MAX may cause the core dump size</div>


<div># to be 'unlimited'.</div><div><br></div><div>coredump:</div><div>  max-dump: unlimited</div><div><br></div><div>Change the max-dump to 0 to disable.  :o)</div><span><font color="#888888"><div>
<br></div><div>marcos </div></font></span></div>
</blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Suricata IDS Devel mailing list: <a href="mailto:oisf-devel@openinfosecfoundation.org">oisf-devel@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Participate: <a href="http://suricata-ids.org/participate/" target="_blank">http://suricata-ids.org/participate/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
Redmine: <a href="https://redmine.openinfosecfoundation.org/" target="_blank">https://redmine.openinfosecfoundation.org/</a><br></blockquote></div><br><br clear="all"><br>-- <br><div>Regards,</div>
<div>Peter Manev</div><br>