<div dir="ltr">Hello list,<div><br></div><div>I'm moving from snort to Suricata, and I'm getting some problems.</div><div><br></div><div>Before I had Snort 2.9.3.1 w/PF_RING 5.5.0, and had to pass parameter "--daq-var no-kernel-filters=1" to Snort because the packet receive rate was slowly decreasing to the point of only 1/10 of the traffic being processed by Snort.</div><div><br></div><div>Now with Suricata 2.0.3 and PF_RING 5.5.0 i'm seeing the same behaviour ... </div><div><br></div><div>If I count lines of log written to eve.json as Peter Manev does (see [1]), at suricata's start i get 2K-5K logs per second, but after a couple of days I only get 5-20 entries per second. Also, drop counters in stats.log turned from less than 0.1% to around 10%.</div><div><br></div><div>Is there a way to pass this variable (no-kernel-filters) to PF_RING through Suricata?</div><div><br></div><div>Thanks,</div><div><br></div><div>Jose Vila.</div><div><br></div><div>[1] <a href="http://pevma.blogspot.com.es/2014/05/logs-per-second-on-evejson-good-and-bad.html">http://pevma.blogspot.com.es/2014/05/logs-per-second-on-evejson-good-and-bad.html</a></div></div>