<div dir="ltr">The default limit for unified2 logs is 32MB[1], and i have not altered this is any way. All (or, apparently not all) of my unified2 files are rotating at this size. But under some situations / high load, with some filestore signatures included, filesizes drasticly increase, and my resulting snort.log contains a whole bunch of duplicates. I have checked other systems and other logs, there are _not_ that many files and events happening on the network that is beeing reported on. Maybe a few thousand downloads, but many million log entries...<div><br></div><div>Using: Suricata 2.0.9, CentOS 7.1, Kernel 3.10.<br><div><br></div><div><div>333M 12:33 unified2.alert.1448796813</div><div>334M 12:33 unified2.alert.1448796814</div><div>334M 12:33 unified2.alert.1448796815</div><div>334M 12:33 unified2.alert.1448796816</div><div>300M 12:33 unified2.alert.1448796817</div><div>333M 12:33 unified2.alert.1448796818</div><div>300M 12:33 unified2.alert.1448796819</div><div>333M 12:33 unified2.alert.1448796820</div><div>300M 12:33 unified2.alert.1448796821</div><div>300M 12:33 unified2.alert.1448796822</div><div>300M 12:33 unified2.alert.1448796823</div><div>333M 12:33 unified2.alert.1448796824</div><div>267M 12:33 unified2.alert.1448796825</div><div>300M 12:33 unified2.alert.1448796826</div><div>300M 12:33 unified2.alert.1448796827</div><div>199M 12:33 unified2.alert.1448796828</div><div>33M 12:33 unified2.alert.1448796829</div><div>33M 12:34 unified2.alert.1448796837</div><div>33M 12:34 unified2.alert.1448796851</div><div>33M 12:34 unified2.alert.1448796862</div><div>33M 12:48 unified2.alert.1448796868</div><div>33M 12:48 unified2.alert.1448797708</div><div>33M 12:49 unified2.alert.1448797734</div><div>33M 13:35 unified2.alert.1448797749</div></div></div><div><br></div><div>[1] <a href="https://github.com/inliniac/suricata/blob/dcbbda505f1abb55739333de0c6c347e30cb5797/src/alert-unified2-alert.c#L79">https://github.com/inliniac/suricata/blob/dcbbda505f1abb55739333de0c6c347e30cb5797/src/alert-unified2-alert.c#L79</a></div></div>