<div dir="ltr">Update:<div><br></div><div>I changed runmode: workers  and my cpu usage is now 50% ( from 270% to 50%) sounds like making progress..</div><div><br></div><div>Following is my multithreading config can you suggest what else we can tweak </div><div><br></div><div><div>threading:</div><div> </div><div>  #</div><div>  set-cpu-affinity: yes</div><div>  # Tune cpu affinity of suricata threads. Each family of threads can be bound</div><div>  # on specific CPUs.</div><div>  cpu-affinity:</div><div>    - management-cpu-set:</div><div>        cpu: [ 0 ]  # include only these cpus in affinity settings</div><div>    - receive-cpu-set:</div><div>        cpu: [ 0 ]  # include only these cpus in affinity settings</div><div>    - decode-cpu-set:</div><div>        cpu: [ 0, 1 ]</div><div>        mode: "balanced"</div><div>    - stream-cpu-set:</div><div>        cpu: [ "0-1" ]</div><div>    - detect-cpu-set:</div><div>        cpu: [ "1-7" ]</div><div>        mode: "exclusive" # run detect threads in these cpus</div><div>        # Use explicitely 3 threads and don't compute number by using</div><div>        # detect-thread-ratio variable:</div><div>        # threads: 3</div><div>        prio:</div><div>          low: [ 0 ]</div><div>          medium: [ "1-2" ]</div><div>          high: [ 3 ]</div><div>          default: "medium"</div><div>    - verdict-cpu-set:</div><div>        cpu: [ 0 ]</div><div>        prio:</div><div>          default: "high"</div><div>    - reject-cpu-set:</div><div>        cpu: [ 0 ]</div><div>         prio:</div><div>          default: "high"</div><div>    - reject-cpu-set:</div><div>        cpu: [ 0 ]</div><div>        prio:</div><div>          default: "low"</div><div>    - output-cpu-set:</div><div>        cpu: [ "all" ]</div><div>        prio:</div><div>           default: "medium"</div></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Nov 28, 2015 at 12:01 PM, Satish Patel <span dir="ltr"><<a href="mailto:satish.txt@gmail.com" target="_blank">satish.txt@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Following is htop output ( just single rule loaded)  **NOT ALL**<div><br></div><div>also how do i enabled <span style="font-size:12.8px">8 threads and with runmode workers? my yaml file is default file i didn't do any fine-tuning. Let me know how i can optimize it?</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div><div><br><div><br></div><div><br></div></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Nov 21, 2015 at 8:08 AM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Fri, Nov 20, 2015 at 7:00 PM, Satish Patel <<a href="mailto:satish.txt@gmail.com" target="_blank">satish.txt@gmail.com</a>> wrote:<br>
><br>
><br>
> On Fri, Nov 20, 2015 at 8:39 AM, Andreas Herz <<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>> wrote:<br>
>><br>
>> On 19/11/15 at 10:51, Satish Patel wrote:<br>
>> > 19/11/2015 -- 10:50:10 - <Info> - 1 rule files processed. 1 rules<br>
>> > successfully loaded, 0 rules failed<br>
>><br>
>> What rule are you using? Is the load issue the same even without this<br>
>> rule?<br>
><br>
><br>
><br>
> For experiment, i have removed all rules from .yaml file and load is around<br>
> 200%  with all rules load will be 350%<br>
><br>
<br>
</span>Can you share a screenshot of htop/top ?<br>
<span><br>
> If i test with zero traffic load is around 1 or 2%.   Do you think 100mbps<br>
> load is high?<br>
><br>
<br>
</span>Why dont you try apacket with 8 threads and with runmode workers - any diff?<br>
<span><br>
>><br>
>><br>
>> > 19/11/2015 -- 10:50:10 - <Warning> - [ERRCODE:<br>
>> > SC_ERR_NOT_SUPPORTED(225)] -<br>
>> > Eve-log support not compiled in. Reconfigure/recompile with libjansson<br>
>> > and<br>
>> > its development files installed to add eve-log support.<br>
>><br>
>> You might wanna exclude eve log from the config, but shouldn't be an<br>
>> issue with the load<br>
>><br>
>> > 19/11/2015 -- 10:50:10 - <Info> - Large Receive Offload is unset on eth1<br>
>> > 19/11/2015 -- 10:50:10 - <Warning> - [ERRCODE: SC_ERR_PCAP_CREATE(21)] -<br>
>> > Using Pcap capture with GRO or LRO activated can lead to capture<br>
>> > problems.<br>
>><br>
>> Regarding this issue, read:<br>
>><br>
>><br>
>> <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction" rel="noreferrer" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction</a><br>
>><br>
>> Section NIC Offloading<br>
><br>
><br>
> Do you think this is related to PF_RING?<br>
><br>
>><br>
>><br>
>> --<br>
>> Andreas Herz<br>
><br>
><br>
><br>
</span>> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br>
<span><font color="#888888"><br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>
</div></div></blockquote></div><br></div>