<div dir="ltr">Checksums are disabled.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jun 5, 2014 at 2:10 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Thu, Jun 5, 2014 at 8:06 PM, Adnan Baykal <<a href="mailto:abaykal@gmail.com">abaykal@gmail.com</a>> wrote:<br>

> disabled vlan as tracking as well.<br>
><br>
><br>
<br>
</div>What is your setting for checksums in suricata.yaml - enabled or disabled?<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
><br>
> On Thu, Jun 5, 2014 at 2:04 PM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br>
>><br>
>> On Thu, Jun 5, 2014 at 5:30 PM, Adnan Baykal <<a href="mailto:abaykal@gmail.com">abaykal@gmail.com</a>> wrote:<br>
>> > Here is what I did. I found a top talker - video streaming - and put a<br>
>> > bpf<br>
>> > filter to filter it out (not (host 1.2.3.4)). I am not dropping as many<br>
>> > packets any more (about 3%-4%).<br>
>> ><br>
>> > however, I still see extremely low number of http entries in the http<br>
>> > log<br>
>> > and I dont see anything when I take out the midstream and async entries<br>
>> > from<br>
>> > the yaml file.<br>
>> ><br>
>><br>
>> Do you have VLANs on the mirror port?<br>
>><br>
>><br>
>> ><br>
>> ><br>
>> > On Wed, Jun 4, 2014 at 8:14 PM, Adnan Baykal <<a href="mailto:abaykal@gmail.com">abaykal@gmail.com</a>> wrote:<br>
>> >><br>
>> >> Mbit<br>
>> >><br>
>> >><br>
>> >> On Wed, Jun 4, 2014 at 4:38 PM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>><br>
>> >> wrote:<br>
>> >>><br>
>> >>> On Wed, Jun 4, 2014 at 10:33 PM, Adnan Baykal <<a href="mailto:abaykal@gmail.com">abaykal@gmail.com</a>><br>
>> >>> wrote:<br>
>> >>> > I do load about 7K rules.  I need to go back to my sensor but it is<br>
>> >>> > probably<br>
>> >>> > around 800MB/s<br>
>> >>> ><br>
>> >>> ><br>
>> >>><br>
>> >>> Just to confirm - is that 800 Mbit or MByte?<br>
>> >>><br>
>> >>><br>
>> >>> > On Wed, Jun 4, 2014 at 4:17 PM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>><br>
>> >>> > wrote:<br>
>> >>> >><br>
>> >>> >> On Wed, Jun 4, 2014 at 10:08 PM, Adnan Baykal <<a href="mailto:abaykal@gmail.com">abaykal@gmail.com</a>><br>
>> >>> >> wrote:<br>
>> >>> >> > I have been having no HTTP logging at all on one of my sensors. I<br>
>> >>> >> > have<br>
>> >>> >> > posted several questions to this blog. Mind you that this sensor<br>
>> >>> >> > does<br>
>> >>> >> > drop<br>
>> >>> >> > significant amount of data (about 50%) and I do understand that<br>
>> >>> >> > there<br>
>> >>> >> > will<br>
>> >>> >> > be a lot of http traffic missed due to drops but not having any<br>
>> >>> >> > entry in<br>
>> >>> >> > the<br>
>> >>> >> > http.log file was concerning. I thought I would at least see some<br>
>> >>> >> > entries.<br>
>> >>> >> ><br>
>> >>> >> > This morning, I found a setting:<br>
>> >>> >> ><br>
>> >>> >> >   midstream: true             # do not allow midstream session<br>
>> >>> >> > pickups<br>
>> >>> >> >   async_oneside: true         # do not enable async stream<br>
>> >>> >> > handling<br>
>> >>> >> ><br>
>> >>> >> > When above setting is applied to the stream, I get limited HTTP<br>
>> >>> >> > log.<br>
>> >>> >> > My<br>
>> >>> >> > question is "can this change in behavior be explained by dropped<br>
>> >>> >> > packets"?<br>
>> >>> >> > does this change further support the theory that this box is<br>
>> >>> >> > significantly<br>
>> >>> >> > undersized and that the bigger box would operate normally with<br>
>> >>> >> > full<br>
>> >>> >> > http<br>
>> >>> >> > traffic?<br>
>> >>> >> ><br>
>> >>> >> > I am in the process of upgrading this sensor to a 32GB 20 Core<br>
>> >>> >> > system<br>
>> >>> >> > (it is<br>
>> >>> >> > currently 16GB 8 Core).<br>
>> >>> >> ><br>
>> >>> >> > Thanks,<br>
>> >>> >> ><br>
>> >>> >> > --Adnan<br>
>> >>> >> ><br>
>> >>> >> ><br>
>> >>> >> > _______________________________________________<br>
>> >>> >> > Suricata IDS Users mailing list:<br>
>> >>> >> > <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
>> >>> >> > Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support:<br>
>> >>> >> > <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
>> >>> >> > List:<br>
>> >>> >> ><br>
>> >>> >> > <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
>> >>> >> > OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
>> >>> >><br>
>> >>> >> In general if you have significant % of drops  - you will be<br>
>> >>> >> missing a<br>
>> >>> >> lot of logs.<br>
>> >>> >> How much traffic do you inspect with that set up? (and how many<br>
>> >>> >> rules<br>
>> >>> >> do you load?)<br>
>> >>> >><br>
>> >>> >><br>
>> >>> >> --<br>
>> >>> >> Regards,<br>
>> >>> >> Peter Manev<br>
>> >>> ><br>
>> >>> ><br>
>> >>><br>
>> >>><br>
>> >>><br>
>> >>> --<br>
>> >>> Regards,<br>
>> >>> Peter Manev<br>
>> >><br>
>> >><br>
>> ><br>
>><br>
>><br>
>><br>
>> --<br>
>> Regards,<br>
>> Peter Manev<br>
><br>
><br>
<br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>