Fernando,<div>  I think the difference is where the packets are dropped.  (please correct me if I'm wrong).  Drops from the memcap counters are because too few memory resources have been assigned to the suricata engine, therefore the memory buffer fills and Suricata drops the packet.  On the other hand, the dropped packets reported by <span class="Apple-style-span" style="font-family: 'courier new', monospace; font-size: 13px; background-color: rgb(255, 255, 255); ">(ReceivePcapThreadExitStats)</span>are dropped at the pcap level, before it even gets into Suricata.  Indicative, I think, of a problem in the OS or the hardware, but not in Suricata.</div>
<div><br></div><div>  Any sage advice from those who know what they're talking about?</div><div><br></div><div>Gene</div><div><br><div class="gmail_quote">On Wed, Aug 10, 2011 at 12:36 PM, Will Metcalf <span dir="ltr"><<a href="mailto:william.metcalf@gmail.com">william.metcalf@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">> Will, I have a question. Is the number in dropped packets registered wher<br>
> Suricata stops is independent of the number of packets drops by memcap_drops<br>
> in stats.log?<br>
<br>
</div>Yes<br>
<div><div></div><div class="h5"><br>
On Wed, Aug 10, 2011 at 2:34 PM, Fernando Ortiz<br>
<<a href="mailto:fernando.ortiz.f@gmail.com">fernando.ortiz.f@gmail.com</a>> wrote:<br>
> Will, I have a question. Is the number in dropped packets registered wher<br>
> Suricata stops is independent of the number of packets drops by memcap_drops<br>
> in stats.log?<br>
><br>
> Cheers,<br>
> Fernando<br>
><br></div></div></blockquote></div><br clear="all"><br>-- <br>Gene Albin<br><a href="mailto:gene.albin@gmail.com" target="_blank">gene.albin@gmail.com</a><br><br>
</div>