<div dir="ltr">Yes.</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 17, 2016 at 3:45 AM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, Feb 8, 2016 at 9:53 PM, John Rett <<a href="mailto:johnarett@gmail.com">johnarett@gmail.com</a>> wrote:<br>
> I'm seeing some weird behavior from the profiling results, and I'm trying to<br>
> understand if what I'm seeing is a bug, some issue with my rules (I doubt<br>
> this), or some behavior that I don't understand.<br>
><br>
> I have configured and built suricata with profiling successfully. I'm<br>
> getting output in my rule_perf.log.<br>
><br>
> I'm running the default yaml:<br>
> /data/suricata-3.0/src/suricata -vv -c /data/suricata-3.0/suricata.yaml -r<br>
> /data/my.pcap -S /data/rules_file.txt<br>
><br>
> Say I have rule A, B, and C in my rules file.<br>
> Rule A is <a href="http://doc.emergingthreats.net/2006588" rel="noreferrer" target="_blank">http://doc.emergingthreats.net/2006588</a><br>
> Rule B is <a href="http://doc.emergingthreats.net/2005568" rel="noreferrer" target="_blank">http://doc.emergingthreats.net/2005568</a><br>
> Rule C is an boring ETpro rule (Let me know if there is a proper way to<br>
> share this.)<br>
>><br>
>> alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS etc...<br>
><br>
><br>
> If I run this rules file though a couple huge (7G and 23G) pcaps of real<br>
> large network I would expect these rules to have many "ticks" and many<br>
> "checks". But instead I get one "check" for Rule B, ~2488 ticks. Only one<br>
> single "check" out of everything.<br>
<br>
</span>If you re-run with --runmode=single would the stats be similar ?<br>
<span class=""><br>
><br>
> This happens for both text output:<br>
> <a href="http://pastebin.com/XbXMyw5J" rel="noreferrer" target="_blank">http://pastebin.com/XbXMyw5J</a><br>
><br>
> And JSON output:<br>
>><br>
>> {"timestamp":"2016-02-08T20:09:52.066377+0000","rules":[{"signature_id":<br>
>> 2005568,"gid":1,"rev":5,"checks":1,"matches":0,"ticks_total":2376,"ticks_max":2376,"ticks_avg":2376,"ticks_avg_match":0,"ticks_avg_nomatch":2376,"percent":100}]}<br>
><br>
><br>
> How could a rules file with three rules run against a huge pcaps, only have<br>
> a single "check" for only one of the rules?<br>
><br>
> Second question/issue, maybe related, maybe not. If I reorder the rules, I<br>
> get the same result (expected.) If I remove rule A from the list, I get the<br>
> same result (expected). If I remove rule C, I get a different result.<br>
> Profiling will return nothing, aka no "check" or "ticks" for any rules (not<br>
> expected).<br>
><br>
> For the record this happens in larger rule files too. But as I add more<br>
> rules, some of them will get checked a lot, whereas some of them won't be<br>
> checked at all.<br>
><br>
> Let me know if I can include any other information that would be helpful.<br>
><br>
> Many thanks for any and all help!<br>
> -JR<br>
><br>
><br>
</span><span class="">> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 9-11 in Washington, DC:<br>
> <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br>
<br>
<br>
<br>
--<br>
</span>Regards,<br>
Peter Manev<br>
</blockquote></div><br></div>