Hi,<br><br>The speeds that you are achieving are very low, almost impossible :).<br>Please have a look here (although it uses advanced techniques for your network card drivers and such, it will be helpful to set up your suricata.yaml):<br>
<a href="https://home.regit.org/2012/07/suricata-to-10gbps-and-beyond/">https://home.regit.org/2012/07/suricata-to-10gbps-and-beyond/</a><br><br>What speeds are you looking at .. on your network interface?<br>Which version of Suricata are you using?<br>
<br>I am not sure about pcap-log throughput, but i am assuming it will be hugely dependent on your HDD speed as well.<br><br>thanks<br><br><div class="gmail_quote">On Tue, Oct 23, 2012 at 8:36 PM, Jake Gionet <span dir="ltr"><<a href="mailto:gionet.jake@gmail.com" target="_blank">gionet.jake@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Sorry, forgot to include version information<br>
<br>
OS: Ubuntu 12.04.1<br>
Suricata: 1.4beta2<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
> Hello all,<br>
><br>
> I was hoping to get an idea of the performance limits of Suricata's pcap-log output format.<br>
><br>
> I would really like to configure Suricata for both signature detection and packet capturing.  However, from the testing I've been able to do it appears to drop a significant amount of packets (more than it actually captured) at relatively low network speeds.  The traffic I'm currently testing with averages around 85 Mb/s and Suricata hasn't been able to keep up.  Even during timeframes of ~35 Mb/s it is not capturing most packets.  It is bursty, but tcpdump has had no issue keeping up with the traffic.<br>

><br>
> Has anybody been able to use Suricata as a packet capturing application at speeds greater than 100 Mb/s?<br>
> Are there any configurations that would potentially improve performance of pcap-log output?<br>
> What kind of speeds should I expect the pcap-log output to be able to keep up with?<br>
><br>
><br>
> Thanks,<br>
> Jake<br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div>Regards,</div>
<div>Peter Manev</div><br>