<div dir="ltr">In af-packet mode (/usr/bin/suricata -c /etc/suricata/suricata.yaml --disable-detection --pidfile /var/run/suricata.pid --af-packet -D -vvv -F /var/log/suricata/bpf_filter.txt ) suricata still utilise only two cores. Additionally in log file I can see much less entries per second. </div><div class="gmail_extra"><br><div class="gmail_quote">2016-09-27 10:51 GMT+02:00 Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Sep 27, 2016 at 10:18 AM, Michał D <<a href="mailto:michu162@gmail.com">michu162@gmail.com</a>> wrote:<br>
> Currently I use "--disable-detection" when I'm running suricata and I sill<br>
> have problems with high CPU usage of only two cores and packet drops in<br>
> peaks.<br>
<br>
</span>Try af-packet and see if any diff.<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
> 2016-09-27 9:56 GMT+02:00 Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>>:<br>
>><br>
>> On Tue, Sep 27, 2016 at 8:43 AM, Michał D <<a href="mailto:michu162@gmail.com">michu162@gmail.com</a>> wrote:<br>
>> > Hello,<br>
>> ><br>
>> > I would like to use suricata only to log incoming http requests and save<br>
>> > them as json into file (http.json).<br>
>><br>
>> If this is the only thing you need to do  - log http request only - no<br>
>> inspection, no alerts.<br>
>> You can try the nsm mode (./configure --disable-detection .....) and<br>
>> enable only http logs in the eve-log section of suricata.yaml.<br>
>><br>
>> > I have server with two 10G interfaces where I'm receiving mirrored<br>
>> > traffic,<br>
>> > 48GB of RAM and Intel(R) Xeon(R) CPU E5540 2.53GHz with 16 cores<br>
>> > Configuration of suricata and build-info you can find here:<br>
>> > <a href="http://pastebin.com/CriMdqJP" rel="noreferrer" target="_blank">http://pastebin.com/CriMdqJP</a><br>
>> ><br>
>> > Currently it works in PCAP mode, but I can see 100% usage only of 2 CPU<br>
>> > cores and a lot of drops.<br>
>> > (/usr/bin/suricata -c /etc/suricata/suricata.yaml --disable-detection<br>
>> > --pidfile /var/run/suricata.pid --pcap=p2p1 --pcap=p2p2 -D -vvv -F<br>
>> > /etc/suricata/bpf_filter.txt)<br>
>> ><br>
>> > How should I configure & run suricata to have no drops and use all<br>
>> > cores?<br>
>> ><br>
>> > Regards<br>
>> > Michal<br>
>> ><br>
>> > ______________________________<wbr>_________________<br>
>> > Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
>> > Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support:<br>
>> > <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
>> > List:<br>
>> > <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
>> > Suricata User Conference November 9-11 in Washington, DC:<br>
>> > <a href="http://suricon.net" rel="noreferrer" target="_blank">http://suricon.net</a><br>
>><br>
>><br>
>><br>
>> --<br>
>> Regards,<br>
>> Peter Manev<br>
><br>
><br>
<br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>