Hi Peter,<div><br></div><div>Thanks for the assistance!<br><div><br></div><div>General mix of ISP traffic. Started off with the full ET Pro ruleset, what would you recommend dropping or as a good   resource for tuning the ET Pro ruleset?</div><div><br></div><div>3.0 was not available when we integrated card but we will port over soon.</div><div><br></div><div>Yes the implementation/delivery is good for 40Gbps!</div><div><br></div><div>Thanks,</div><div><br></div><div>Matt<span></span><br><br>On Tuesday, 15 March 2016, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Mar 15, 2016 at 5:11 AM, Matthew George <<a href="javascript:;" onclick="_e(event, 'cvml', 'mattg210778@gmail.com')">mattg210778@gmail.com</a>> wrote:<br>
> Dear Suricata users - please help,<br>
><br>
> I am interested in getting Suricata running to rates up to and over 20Gbps.<br>
><br>
<br>
What type of traffic and rules?<br>
<br>
> We are using a fairly impressive server spec i.e. 20 cores and 128GB ram<br>
> etc.<br>
> I also have a signature offload card spliced into the bottom of our modified<br>
> Suricata (based on 2.0.9) giving about a 20-30% reduction in CPU per worker<br>
> thread without any negative impacts on alerts. The card also does 0 copy DMA<br>
> and load sharing to 16 worker cores via a proprietary implementation not<br>
> that dissimilar from PF_RING.<br>
<br>
I would start here -<br>
- 2.0.9 is not supported. There were a number of serious improvements<br>
reflected in 3.0<br>
- is the the modified/proprietary implementation capable of 20Gbps and above?<br>
<br>
<br>
><br>
> The throughput on the system however when running the full ET Pro ruleset is<br>
> no where near what we'd like or it appears what you guys are getting so my<br>
> questions is what are we doing wrong?<br>
><br>
> Should we use a different code base, a bigger server or tune the rules?<br>
><br>
<br>
- for code base later/stable is always recommended<br>
- before you go to a bigger server make sure you have the best out of<br>
what you have -> based on type of traffic and rules loaded/needed.<br>
<br>
> Any help would be greatly appreciated,<br>
><br>
> Matt<br>
><br>
> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="javascript:;" onclick="_e(event, 'cvml', 'oisf-users@openinfosecfoundation.org')">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 9-11 in Washington, DC:<br>
> <a href="http://oisfevents.net" target="_blank">http://oisfevents.net</a><br>
<br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</blockquote></div></div>