<div dir="ltr">Hello, <div><br></div><div>I just updated to Suricata 2.0.3 and PF_RING 6.0.3 from SVN, and this behaviour still persists.</div><div><br></div><div>Can someone help?</div><div><br></div><div>Thanks.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 16, 2014 at 10:28 AM, Jose Vila <span dir="ltr"><<a href="mailto:jovimon@gmail.com" target="_blank">jovimon@gmail.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello list,<div><br></div><div>I'm moving from snort to Suricata, and I'm getting some problems.</div><div><br></div><div>Before I had Snort 2.9.3.1 w/PF_RING 5.5.0, and had to pass parameter "--daq-var no-kernel-filters=1" to Snort because the packet receive rate was slowly decreasing to the point of only 1/10 of the traffic being processed by Snort.</div><div><br></div><div>Now with Suricata 2.0.3 and PF_RING 5.5.0 i'm seeing the same behaviour ... </div><div><br></div><div>If I count lines of log written to eve.json as Peter Manev does (see [1]), at suricata's start i get 2K-5K logs per second, but after a couple of days I only get 5-20 entries per second. Also, drop counters in stats.log turned from less than 0.1% to around 10%.</div><div><br></div><div>Is there a way to pass this variable (no-kernel-filters) to PF_RING through Suricata?</div><div><br></div><div>Thanks,</div><div><br></div><div>Jose Vila.</div><div><br></div><div>[1] <a href="http://pevma.blogspot.com.es/2014/05/logs-per-second-on-evejson-good-and-bad.html" target="_blank">http://pevma.blogspot.com.es/2014/05/logs-per-second-on-evejson-good-and-bad.html</a></div></div>
</blockquote></div></div>