
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

</head>

<body>

<p dir="ltr">I've done pfring in auto mode for two 10 gig interfaces. 40 threads total. Using 70 gig of ram to preserve streams. Almost 0 packet

<u>loss</u><br>

</p>

<br>

<br>

<br>

<div class="gmail_quote">On Sun, Nov 1, 2015 at 6:32 AM -0800, "Peter Manev" <span dir="ltr">

<<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br>

<br>

</div>

<div class="BodyFragment">

<div class="PlainText">On Wed, Oct 28, 2015 at 6:19 PM, Brian Hennigar <bhennigar@gmail.com> wrote:<br>

> Hi,<br>

> I'm looking for recommendations for using suricata un runmode: workers and<br>

> AF_Packet with multiple capture interfaces. I'm not how to best configure<br>

> the threads and cluster-id.<br>

> I have 3 relatively low traffic span interfaces (IDS mode, alert only) and 6<br>

> cores.<br>

><br>

> Would each interface need to have it's own cluster-id?  Would the best<br>

> threads setting be auto for each interface?<br>

<br>

You would need a diff cluster-id , yes.<br>

If you dont have much traffic auto is fine otherwise you need to go to<br>

manual configuration of the number of threads per interface and<br>

budget more threads for more traffic.<br>

<br>

><br>

> Thanks!<br>

> Brian<br>

><br>

> _______________________________________________<br>

> Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org<br>

> Site: <a href="http://suricata-ids.org">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/">

http://suricata-ids.org/support/</a><br>

> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users">

https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

> Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net">

http://oisfevents.net</a><br>

<br>

<br>

<br>

-- <br>

Regards,<br>

Peter Manev<br>

_______________________________________________<br>

Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org<br>

Site: <a href="http://suricata-ids.org">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/">

http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users">

https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net">

http://oisfevents.net</a><br>

</div>

</div>

</body>

</html>