
Hi Peter,<div><br></div><div>Thanks for the assistance!<br><div><br></div><div>General mix of ISP traffic. Started off with the full ET Pro ruleset, what would you recommend dropping or as a good   resource for tuning the ET Pro ruleset?</div><div><br></div><div>3.0 was not available when we integrated card but we will port over soon.</div><div><br></div><div>Yes the implementation/delivery is good for 40Gbps!</div><div><br></div><div>Thanks,</div><div><br></div><div>Matt<span></span><br><br>On Tuesday, 15 March 2016, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Mar 15, 2016 at 5:11 AM, Matthew George <<a href="javascript:;" onclick="_e(event, 'cvml', 'mattg210778@gmail.com')">mattg210778@gmail.com</a>> wrote:<br>

> Dear Suricata users - please help,<br>

><br>

> I am interested in getting Suricata running to rates up to and over 20Gbps.<br>

><br>

<br>

What type of traffic and rules?<br>

<br>

> We are using a fairly impressive server spec i.e. 20 cores and 128GB ram<br>

> etc.<br>

> I also have a signature offload card spliced into the bottom of our modified<br>

> Suricata (based on 2.0.9) giving about a 20-30% reduction in CPU per worker<br>

> thread without any negative impacts on alerts. The card also does 0 copy DMA<br>

> and load sharing to 16 worker cores via a proprietary implementation not<br>

> that dissimilar from PF_RING.<br>

<br>

I would start here -<br>

- 2.0.9 is not supported. There were a number of serious improvements<br>

reflected in 3.0<br>

- is the the modified/proprietary implementation capable of 20Gbps and above?<br>

<br>

<br>

><br>

> The throughput on the system however when running the full ET Pro ruleset is<br>

> no where near what we'd like or it appears what you guys are getting so my<br>

> questions is what are we doing wrong?<br>

><br>

> Should we use a different code base, a bigger server or tune the rules?<br>

><br>

<br>

- for code base later/stable is always recommended<br>

- before you go to a bigger server make sure you have the best out of<br>

what you have -> based on type of traffic and rules loaded/needed.<br>

<br>

> Any help would be greatly appreciated,<br>

><br>

> Matt<br>

><br>

> _______________________________________________<br>

> Suricata IDS Users mailing list: <a href="javascript:;" onclick="_e(event, 'cvml', 'oisf-users@openinfosecfoundation.org')">oisf-users@openinfosecfoundation.org</a><br>

> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>

> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

> Suricata User Conference November 9-11 in Washington, DC:<br>

> <a href="http://oisfevents.net" target="_blank">http://oisfevents.net</a><br>

<br>

<br>

<br>

--<br>

Regards,<br>

Peter Manev<br>

</blockquote></div></div>