<div dir="ltr">Hi,<div>I'm testing using Suricata with 10Gb fiber with out of band span ports (not inline) and have noticed a high volume of packet loss.  Are there any best practices for using 10Gb when NOT inline? </div><div><br></div><div>I'm testing, I'm using esxi 5.5 and a ubuntu 14.04 VM and vmxnet3 network adapters.  The vm has 64gb ram and 8 cores.  All offloading options are disabled on the interface.</div><div><br></div><div><b>From stats.log</b></div><div><br></div><div><div>capture.kernel_packets    | RxPcapeth71               | 10498699</div><div>capture.kernel_drops      | RxPcapeth71               | 8892234</div><div>capture.kernel_ifdrops    | RxPcapeth71               | 73</div></div><div><br></div><div><b>From suricata.yaml</b></div><div><br></div><div><div>stream:</div><div>  memcap: 14gb</div><div>  checksum-validation: no      # reject wrong csums</div><div>  inline: no                  # auto will use inline mode in IPS mode, yes or no set it statically</div><div>  reassembly:</div><div>    memcap: 20gb</div><div>    depth: 64mb                  # reassemble 1mb into a stream</div><div>    toserver-chunk-size: 2560</div><div>    toclient-chunk-size: 2560</div><div>    randomize-chunk-size: yes</div></div><div><br></div><div><br></div><div>Thanks!!</div></div>