<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;background-color:#FFFFFF;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p>Hello all,</p>
<p><br>
</p>
<p>I'm troubleshooting a very high decoder.invalid count on my sensor; nearly 35%. My kernel drop count is less than 1% and we seem to be generating about the number of alerts that I would expect. I'm not able to find much in the way of documentation that explains
 what may lead to a packet being marked as invalid in Suricata. The only thing I've found so far is advice to make sure that the interface MTU and Suricata.yaml MTU settings match (which they do) and ensure that the MTU is large enough for packets being seen
 on that interface (it is). I even tried to increase the MTU to 9026 without any difference. Can anyone point me in the direction of other factors that could be at work here?</p>
<p><br>
</p>
<p>Thanks</p>
</div>
<br>
<hr>
<font face="Arial" color="Gray" size="1"><br>
This e-mail message (including any attachments) is for the sole use of<br>
the intended recipient(s) and may contain confidential and privileged<br>
information. If the reader of this message is not the intended<br>
recipient, you are hereby notified that any dissemination, distribution<br>
or copying of this message (including any attachments) is strictly<br>
prohibited.<br>
<br>
If you have received this message in error, please contact<br>
the sender by reply e-mail message and destroy all copies of the<br>
original message (including attachments).<br>
</font>
</body>
</html>