<div dir="ltr"><div>my bad on "reply all".<br><br></div>I enabled http.log in the yaml file. I dont see any entries in there unless I enabled midstream.<br><br><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Thu, Jun 5, 2014 at 2:08 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On Thu, Jun 5, 2014 at 8:04 PM, Adnan Baykal <<a href="mailto:abaykal@gmail.com">abaykal@gmail.com</a>> wrote:<br>
> What I found just now is that if I disable the midstream and asyn settings,<br>
> drops go to 0. Yet, still no HTTP logging.<br>
><br>
><br>
<br>
<br>
</div>Please do not forget to click "reply all" when you are answering that<br>
way the user list will see your replies as well.<br>
<br>
Which Suricata ver are you using?<br>
What do you mean 0 http logging - is that in eve.json or in http.log?<br>
Are all enabled in suricata.yaml?<br>
<div class="HOEnZb"><div class="h5"><br>
> On Thu, Jun 5, 2014 at 2:03 PM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br>
>><br>
>> On Thu, Jun 5, 2014 at 7:56 PM, Adnan Baykal <<a href="mailto:abaykal@gmail.com">abaykal@gmail.com</a>> wrote:<br>
>> > what is this measure? as soon as I start Suri, I get this number in 15K<br>
>> > and<br>
>> > just keeps going up significantly. Can anyone tell me what effects<br>
>> > tcp.segment_memcap_drop counter and what can I do to get it down?<br>
>><br>
>> In general you need to increase the stream memcap settings in yaml<br>
>><br>
>> > I have 16GB ram and already have memcap at 6gb and reassembly memcap at<br>
>> > 12GB<br>
>> > and depth: at 1mb<br>
>> ><br>
>> > Thanks<br>
>> ><br>
>> > _______________________________________________<br>
>> > Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
>> > Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support:<br>
>> > <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
>> > List:<br>
>> > <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
>> > OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
>><br>
>><br>
>> If you have 16 GRAM in total and you have 6+12 in Suricata = 18 you<br>
>> will go into swap at some point and degrade performance not only for<br>
>> Suri but for the whole machine as well.<br>
>><br>
>><br>
>><br>
>><br>
>> --<br>
>> Regards,<br>
>> Peter Manev<br>
><br>
><br>
<br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>