Assuming you are processing an average of 174,760 PPS "Average 2Gbps link for my networks", you need a 12 core system running Suricata 1.3 Dev. ver. to keep up with the traffic. However it's highly dependent on the type of traffic you're trying to handle and the size of the packets.   <br>

<br><div class="gmail_quote">On Fri, Jun 22, 2012 at 9:38 AM, Martin Holste <span dir="ltr"><<a href="mailto:mcholste@gmail.com" target="_blank">mcholste@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

We run about 800 Mb/sec on 16 cores, but we throw a lot of ram at it.<br>
You will definitely want to run with the ac full setting for the<br>
pattern matcher, and if you run an average amount of rules, you're<br>
looking at around 30 GB of RAM required to do that.  RAM is cheap, so<br>
I suggest maxing it out when you buy the box.<br>
<br>
My hunch (I don't have numbers to prove this) is that you should also<br>
look at the size of the caches on the CPU's and go with at least 16<br>
cores but the largest cache you can get.  If anyone has experience<br>
saying whether a few more MB of L2 cache is worth more than, say, 8<br>
more CPU's, that would be really interesting and helpful information.<br>
<div class="HOEnZb"><div class="h5"><br>
On Fri, Jun 22, 2012 at 4:30 AM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br>
> Hi,<br>
><br>
> More cores always help.<br>
> I would think Individual CPU's is better - but 64core for 1-2Gbit is<br>
> unnecessarily excessive i believe.<br>
> Suggestion - more RAM is always good to have/handy and cheep (depending on<br>
> the size of the rules set that you would like to run).<br>
> Just my opinion.<br>
><br>
><br>
> We are planning for some 10G traffic tests and we will publish/update the<br>
> High Perf Configuration in a couple of weeks (I hope).<br>
><br>
> thanks<br>
><br>
><br>
><br>
><br>
> On Fri, Jun 22, 2012 at 11:11 AM, Peter Bates <<a href="mailto:peter.bates@ucl.ac.uk">peter.bates@ucl.ac.uk</a>> wrote:<br>
>><br>
>> -----BEGIN PGP SIGNED MESSAGE-----<br>
>> Hash: SHA1<br>
>><br>
>><br>
>> Hello all<br>
>><br>
>> I've been reading<br>
>><br>
>> <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/High_Performance_Configuration" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/High_Performance_Configuration</a><br>


>> as a base for a planned upgrade to our existing system.<br>
>><br>
>> We have about 1-2Gbit/sec on a 10G link, Intel ixgbe and will use<br>
>> PF_RING or AF_PACKET.<br>
>><br>
>> I've been looking at the recent AMD 16C CPUs and seeing that you can<br>
>> buy a 4-CPU box resulting in 64 cores.<br>
>><br>
>> Are more individual cores preferable to having faster individual CPUs?<br>
>><br>
>> Thanks.<br>
>><br>
>> - --<br>
>> Peter Bates<br>
>> Senior Computer Security Officer    Phone: <a href="tel:%2B44%280%292076792049" value="+442076792049">+44(0)2076792049</a><br>
>> Information Services Division       Internal Ext: 32049<br>
>> University College London<br>
>> London WC1E 6BT<br>
>><br>
>> -----BEGIN PGP SIGNATURE-----<br>
>> Version: GnuPG v2.0.17 (MingW32)<br>
>> Comment: Using GnuPG with Mozilla - <a href="http://enigmail.mozdev.org/" target="_blank">http://enigmail.mozdev.org/</a><br>
>><br>
>> iQEcBAEBAgAGBQJP5DbWAAoJELhVoVpEMS6RSpYH/jO7KoZ+wOvx5R530qVxA7fR<br>
>> sv4YDAyEXCdV5XapxtQenxuR6nszvDSvTPdli56e8OY/5bZ4fkrjBvnfuaizjxTx<br>
>> EEoCiW5RVUzG8kTMnMexaX0B6dpETq7q2TltBPoUEcO27KPmdEJ+oYYVn5T+akuu<br>
>> 46ozv3yJrGluSO19zeD5HOpj6ZcDEYp3TywmDUOU9MsP8RhvAUXe8sk8NTH49oQv<br>
>> gA+OT66uddSST/U5UHezjBUemFZ5p5qpnVqwufuckvjeEgC+6/cTBOW5opSoMv8M<br>
>> m+tJnWt2Z6pne/fioKTOhnvlLKWzhh5FiFGMxsmFqQtyMRYnixfTa+NNx5XK2qE=<br>
>> =9aCH<br>
>> -----END PGP SIGNATURE-----<br>
>><br>
>> _______________________________________________<br>
>> Oisf-users mailing list<br>
>> <a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
>> <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
><br>
><br>
><br>
><br>
> --<br>
> Regards,<br>
> Peter Manev<br>
><br>
><br>
> _______________________________________________<br>
> Oisf-users mailing list<br>
> <a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
> <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
><br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
</div></div></blockquote></div><br>