
<div dir="ltr">In af-packet mode (/usr/bin/suricata -c /etc/suricata/suricata.yaml --disable-detection --pidfile /var/run/suricata.pid --af-packet -D -vvv -F /var/log/suricata/bpf_filter.txt ) suricata still utilise only two cores. Additionally in log file I can see much less entries per second. </div><div class="gmail_extra"><br><div class="gmail_quote">2016-09-27 10:51 GMT+02:00 Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Sep 27, 2016 at 10:18 AM, Michał D <<a href="mailto:michu162@gmail.com">michu162@gmail.com</a>> wrote:<br>

> Currently I use "--disable-detection" when I'm running suricata and I sill<br>

> have problems with high CPU usage of only two cores and packet drops in<br>

> peaks.<br>

<br>

</span>Try af-packet and see if any diff.<br>

<div class="HOEnZb"><div class="h5"><br>

><br>

> 2016-09-27 9:56 GMT+02:00 Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>>:<br>

>><br>

>> On Tue, Sep 27, 2016 at 8:43 AM, Michał D <<a href="mailto:michu162@gmail.com">michu162@gmail.com</a>> wrote:<br>

>> > Hello,<br>

>> ><br>

>> > I would like to use suricata only to log incoming http requests and save<br>

>> > them as json into file (http.json).<br>

>><br>

>> If this is the only thing you need to do  - log http request only - no<br>

>> inspection, no alerts.<br>

>> You can try the nsm mode (./configure --disable-detection .....) and<br>

>> enable only http logs in the eve-log section of suricata.yaml.<br>

>><br>

>> > I have server with two 10G interfaces where I'm receiving mirrored<br>

>> > traffic,<br>

>> > 48GB of RAM and Intel(R) Xeon(R) CPU E5540 2.53GHz with 16 cores<br>

>> > Configuration of suricata and build-info you can find here:<br>

>> > <a href="http://pastebin.com/CriMdqJP" rel="noreferrer" target="_blank">http://pastebin.com/CriMdqJP</a><br>

>> ><br>

>> > Currently it works in PCAP mode, but I can see 100% usage only of 2 CPU<br>

>> > cores and a lot of drops.<br>

>> > (/usr/bin/suricata -c /etc/suricata/suricata.yaml --disable-detection<br>

>> > --pidfile /var/run/suricata.pid --pcap=p2p1 --pcap=p2p2 -D -vvv -F<br>

>> > /etc/suricata/bpf_filter.txt)<br>

>> ><br>

>> > How should I configure & run suricata to have no drops and use all<br>

>> > cores?<br>

>> ><br>

>> > Regards<br>

>> > Michal<br>

>> ><br>

>> > ______________________________<wbr>_________________<br>

>> > Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>

>> > Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support:<br>

>> > <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>

>> > List:<br>

>> > <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>

>> > Suricata User Conference November 9-11 in Washington, DC:<br>

>> > <a href="http://suricon.net" rel="noreferrer" target="_blank">http://suricon.net</a><br>

>><br>

>><br>

>><br>

>> --<br>

>> Regards,<br>

>> Peter Manev<br>

><br>

><br>

<br>

<br>

<br>

</div></div><span class="HOEnZb"><font color="#888888">--<br>

Regards,<br>

Peter Manev<br>

</font></span></blockquote></div><br></div>