<br><br><div class="gmail_quote">On Wed, Jan 5, 2011 at 10:00 AM,  <span dir="ltr"><<a href="mailto:oisf-users-request@openinfosecfoundation.org" target="_blank">oisf-users-request@openinfosecfoundation.org</a>></span> wrote:<br>
<div>
<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> Date: Wed, 5 Jan 2011 16:13:02 +0100 </blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


From: David Rodrigues <<a href="mailto:david.network.security@gmail.com" target="_blank">david.network.security@gmail.com</a>><br>
Subject: [Oisf-users] Drop rate<br>
To: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Message-ID:<br>
        <AANLkTinXNtqV435fKCLkwASSg6=yKj2sGfKAz0aN=<a href="mailto:3h7@mail.gmail.com" target="_blank">3h7@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="iso-8859-1"<br>
<br>
Hi all,<br>
<br>
First, I would like to wish a happy new year to all.<br></blockquote><div><br></div><div>Happy New Year to you too! </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<br>
I'm having some doubts about snort statistics. I'm testing Suricata in a<br>
very high speed network and I would like to have statistics about<br>
performance (e.g.: drop rate).<br>
<br>
The drop rate I'm using is the one printed when Suricata exists. But this is<br>
the Pcap statistics:<br>
[10424] 5/1/2011 -- 15:21:14 - (source-pcap.c:429) <Info><br>
(ReceivePcapThreadExitStats) -- (ReceivePcap) Packets 24902042, bytes<br>
14643147733<br>
[10424] 5/1/2011 -- 15:21:14 - (source-pcap.c:437) <Info><br>
(ReceivePcapThreadExitStats) -- (ReceivePcap) Pcap Total:117734236<br>
Recv:71318162 Drop:46416074 (39.4%).<br>
<br>
Does it means that it only regards Pcap? For instance, if I have a 39 drop<br>
rate does it means that Suricata analyzed 61% of the traffic? Or does it<br>
means that Pcap captured 61% of the packet and Suricata can still drop more?<br></blockquote><div><br></div><div>Suricata should have printed out how many packets it processed in the stats.log file, for comparison.</div>

<div><br></div><div>Traditionally, especially in high traffic scenarios, the Linux pcap Drop numbers aren't very reliable, in that more (to many more) pkts may have been dropped than pcap reports. Pcapping is a best-case effort; results not guaranteed. Higher speed packet capture options include mem-mapped pcap and pf_ring.</div>

<div> </div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> Anther question is: can I have drop statistics without shutting down.</blockquote>
<div><br></div><div>The pcap_stats() call could be checked at the stats report interval, and the results reported with the rest of the stats.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Suricata?<br>
<br>
Thanks a lot,<br>
<br>
David<br></blockquote><div><br></div><div>Cheers,</div><div><br></div><div>Dave</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> 
<br>
End of Oisf-users Digest, Vol 14, Issue 2<br>
*****************************************<br>
</blockquote></div><br clear="all"><br>-- <br>"Of course, someone who knows more about this will correct me if I'm<br>wrong, and someone who knows less will correct me if I'm right." <br>David Palmer (<a href="mailto:palmer@tybalt.caltech.edu" target="_blank">palmer@tybalt.caltech.edu</a>)<br>

<br>