<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 20, 2015 at 8:39 AM, Andreas Herz <span dir="ltr"><<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">On 19/11/15 at 10:51, Satish Patel wrote:<br>
> 19/11/2015 -- 10:50:10 - <Info> - 1 rule files processed. 1 rules<br>
> successfully loaded, 0 rules failed<br>
<br>
</span>What rule are you using? Is the load issue the same even without this<br>
rule?<br></blockquote><div><br></div><div><br></div><div>For experiment, i have removed all rules from .yaml file and load is around 200%  with all rules load will be 350% <br></div><div><br></div><div>If i test with zero traffic load is around 1 or 2%.   Do you think 100mbps load is high? </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<span class=""><br>
> 19/11/2015 -- 10:50:10 - <Warning> - [ERRCODE: SC_ERR_NOT_SUPPORTED(225)] -<br>
> Eve-log support not compiled in. Reconfigure/recompile with libjansson and<br>
> its development files installed to add eve-log support.<br>
<br>
</span>You might wanna exclude eve log from the config, but shouldn't be an<br>
issue with the load </blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">
> 19/11/2015 -- 10:50:10 - <Info> - Large Receive Offload is unset on eth1<br>
> 19/11/2015 -- 10:50:10 - <Warning> - [ERRCODE: SC_ERR_PCAP_CREATE(21)] -<br>
> Using Pcap capture with GRO or LRO activated can lead to capture problems.<br>
<br>
</span>Regarding this issue, read:<br>
<br>
<a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction" rel="noreferrer" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction</a><br>
<br>
Section NIC Offloading<br></blockquote><div><br></div><div>Do you think this is related to PF_RING?  </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<span class=""><font color="#888888"><br>
--<br>
Andreas Herz<br>
</font></span></blockquote></div><br></div></div>