<div dir="ltr">Following is htop output ( just single rule loaded)  **NOT ALL**<div><br></div><div>also how do i enabled <span style="font-size:12.8px">8 threads and with runmode workers? my yaml file is default file i didn't do any fine-tuning. Let me know how i can optimize it?</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div><div><br><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Nov 21, 2015 at 8:08 AM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Nov 20, 2015 at 7:00 PM, Satish Patel <<a href="mailto:satish.txt@gmail.com">satish.txt@gmail.com</a>> wrote:<br>
><br>
><br>
> On Fri, Nov 20, 2015 at 8:39 AM, Andreas Herz <<a href="mailto:andi@geekosphere.org">andi@geekosphere.org</a>> wrote:<br>
>><br>
>> On 19/11/15 at 10:51, Satish Patel wrote:<br>
>> > 19/11/2015 -- 10:50:10 - <Info> - 1 rule files processed. 1 rules<br>
>> > successfully loaded, 0 rules failed<br>
>><br>
>> What rule are you using? Is the load issue the same even without this<br>
>> rule?<br>
><br>
><br>
><br>
> For experiment, i have removed all rules from .yaml file and load is around<br>
> 200%  with all rules load will be 350%<br>
><br>
<br>
</span>Can you share a screenshot of htop/top ?<br>
<span class=""><br>
> If i test with zero traffic load is around 1 or 2%.   Do you think 100mbps<br>
> load is high?<br>
><br>
<br>
</span>Why dont you try apacket with 8 threads and with runmode workers - any diff?<br>
<span class=""><br>
>><br>
>><br>
>> > 19/11/2015 -- 10:50:10 - <Warning> - [ERRCODE:<br>
>> > SC_ERR_NOT_SUPPORTED(225)] -<br>
>> > Eve-log support not compiled in. Reconfigure/recompile with libjansson<br>
>> > and<br>
>> > its development files installed to add eve-log support.<br>
>><br>
>> You might wanna exclude eve log from the config, but shouldn't be an<br>
>> issue with the load<br>
>><br>
>> > 19/11/2015 -- 10:50:10 - <Info> - Large Receive Offload is unset on eth1<br>
>> > 19/11/2015 -- 10:50:10 - <Warning> - [ERRCODE: SC_ERR_PCAP_CREATE(21)] -<br>
>> > Using Pcap capture with GRO or LRO activated can lead to capture<br>
>> > problems.<br>
>><br>
>> Regarding this issue, read:<br>
>><br>
>><br>
>> <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction" rel="noreferrer" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction</a><br>
>><br>
>> Section NIC Offloading<br>
><br>
><br>
> Do you think this is related to PF_RING?<br>
><br>
>><br>
>><br>
>> --<br>
>> Andreas Herz<br>
><br>
><br>
><br>
</span>> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>