I'm trying to make sense out of the various packet metrics in the suricata.log and stats.log files.  Can anyone shed light on what specifically each of these counters is measuring?<div><br></div><div>suricata.log:</div>
<div><div><font class="Apple-style-span" face="'courier new', monospace">[4947] 8/8/2011 -- 14:50:31 - (source-pcap.c:561) <Info> (ReceivePcapThreadExitStats) -- (ReceivePcap) <span class="Apple-style-span" style="background-color: rgb(255, 255, 0);">Packets 238</span><span class="Apple-style-span" style="background-color: rgb(255, 255, 255);">097983</span>, bytes 182382168249</font></div>
</div><div><div><font class="Apple-style-span" face="'courier new', monospace">[4947] 8/8/2011 -- 14:50:31 - (source-pcap.c:569) <Info> (ReceivePcapThreadExitStats) -- (ReceivePcap) <span class="Apple-style-span" style="background-color: rgb(255, 255, 0);">Pcap Total:539</span>841804 <span class="Apple-style-span" style="background-color: rgb(255, 255, 0);">Recv:388</span>969943 <span class="Apple-style-span" style="background-color: rgb(255, 255, 0);">Drop:150</span>871861 (27.9%).</font></div>
</div><div><br></div><div>Looking at these two lines from suricata.log it looks like the pcap engine received a total of 238 million packets AND 388 million packets.  Also, notice how the difference between 539M and 388M is 150M AND the difference between 388M and 238M is also 150M.  I checked another set of suricata.log and stats.log files I have and found that this relationship between <font class="Apple-style-span" face="'courier new', monospace">Recv </font>and <font class="Apple-style-span" face="'courier new', monospace">Drop</font>, and <font class="Apple-style-span" face="'courier new', monospace">Packets </font>and <font class="Apple-style-span" face="'courier new', monospace">Drop </font>appears the be the same in that file.  </div>
<div><br></div><div>What specifically are each of these metrics measuring and from where are the measurements taken (nic, pcap, suricata)?</div><div>What is the relationship between these numbers?  </div><div><br></div><div>
Stats.log:</div><div><font class="Apple-style-span" face="'courier new', monospace">decoder.pkts              | Decode & Stream   | 238097982</font></div><div><font class="Apple-style-span" face="'courier new', monospace">tcp.ssn_memcap_drop       | Decode & Stream   | 299435</font></div>
<div><font class="Apple-style-span" face="'courier new', monospace">tcp.segment_memcap_drop   | Decode & Stream   | 31445861</font></div><div><br></div><div><span class="Apple-style-span">In stats.log the <font class="Apple-style-span" face="'courier new', monospace">decoder.pkts</font> line matches up with the </span><span class="Apple-style-span" style="font-family: 'courier new', monospace; ">(ReceivePcap) Packets</span><span class="Apple-style-span"> line in the suricata.log file.  What about these memcap drop lines?  They don't seem to match up with the drop counter in suricata.log leading me to believe that these are packets dropped by Suricata and are independent of the ones in the suricata.log file.</span></div>
<div><br></div><div>Sure would appreciate any insight into the differences between these metrics.  I'm just a bit confused.</div><div><br></div><div>Thanks,</div><div>-- <br>Gene Albin<br><a href="mailto:gene.albin@gmail.com" target="_blank">gene.albin@gmail.com</a><br>
<br>
</div>