<div dir="ltr">Hi list,<div><br></div><div>As explained in a previous mail <span style="font-family:arial,sans-serif;font-size:13px">I've been facing performance and configuration </span><span style="font-family:arial,sans-serif;font-size:13px">challenges with Suricata. </span>After lots of work and with the precious help of the Suricata developers, kudo's to Peter Manev for his patience and help, I was able to pinpoint the cause of the problem.</div>

<div><br></div><div>The network cards I have, e1000e driver, do not have support for multiple queues. In normal operations this doesn't seem a real problem, but with a multithreaded Suricata this means that only one CPU core can receive network traffic. And if that core is to busy, lots, lots, lots of kernel_drops will occur.</div>

<div><br><div>Thanks to the Linux kernel and <span style="color:rgb(51,51,51);font-family:Arial,Tahoma,Helvetica,FreeSans,sans-serif;font-size:13px;line-height:18px">RPS (Receive Packet Steering) and/or RFS (Receive Flow Steering) packet distribution functionality is offered software based and solves this problem for mono-queue NICs/drivers like the e1000e. </span></div>

<div><span style="color:rgb(51,51,51);font-family:Arial,Tahoma,Helvetica,FreeSans,sans-serif;font-size:13px;line-height:18px"><br></span></div><div><span style="color:rgb(51,51,51);font-family:Arial,Tahoma,Helvetica,FreeSans,sans-serif;font-size:13px;line-height:18px">The long story and configuration settings are explained here: </span><a href="http://christophe.vandeplas.com/2013/11/suricata-capturekerneldrops-caused-by.html">http://christophe.vandeplas.com/2013/11/suricata-capturekerneldrops-caused-by.html</a> </div>

</div><div><br></div><div>Hope this helps others.</div><div><br></div><div>Kind regards</div><div>Christophe</div></div>