<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Thu, Oct 8, 2015 at 10:50 PM Stephen Castellarin <<a href="mailto:castle1126@yahoo.com">castle1126@yahoo.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hey Rob,<br></blockquote><div> </div><div>Don't forget to include the list ;)</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Right now Suricata is configured for autofp.  The ntservice.ini is the default that came out of the driver install.  As for packet loss I know previously that with a 1Gb ethernet card I know that our tap infrastructure kept alerting that we were over-subscribing on the amount of traffic hitting the Suricata port.  It's hard to quantify what the packet loss on the current production system is - every time I run an ifconfig on that interface the dropped count continues to rise at a good clip.  Running "monitoring" on the new server shows 0 fragments, collisions, drop events or crc/align errors.<br></blockquote><div><br></div><div>Hmmm, my Napatech install doesn't show up as an interface, so I can't cross-check that. However, if the monitoring tool isn't reporting packet loss, that's a good sign.</div><div><br></div><div>So, what do you expect/want to get "tuned up"?</div><div><br></div><div>Also, are you really sure those 24K rules are relevant? That's quite a large ruleset...</div><div><br></div><div>-- </div><div> Rob </div></div></div>