<div dir="ltr">Ah, I am running 3.1.3, so no disable-offloading statement in my yaml. Since we are in production with 3.1.3, I am not sure we will move to 3.2 anytime soon, due the the size of our deployment.<div><br></div><div>This appears to work as advertised on 3.1.3. Thank you for your help!</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 24, 2017 at 11:45 AM, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Are you seeing this error message in your suricata logs?<br>
<br>
> [3047] 14/1/2017 -- 17:52:52 - (util-ioctl.c:397) <Warning> (GetIfaceOffloadingLinux) -- [ERRCODE: SC_ERR_NIC_OFFLOADING(284)] - NIC offloading on eth2: SG: SET,  GRO: SET, LRO: unset, TSO: SET, GSO: SET. Run: ethtool -K eth2 sg off gro off lro off tso off gso off<br>
> [3047] 14/1/2017 -- 17:52:52 - (runmode-af-packet.c:459) <Warning> (ParseAFPConfig) -- [ERRCODE: SC_ERR_AFP_CREATE(190)] - Using AF_PACKET with offloading activated leads to capture problems<br>
<br>
If not, it means suricata is disabling GRO when it starts up.  This is<br>
the default behavior on 3.2 unless you explicitly "disable the<br>
disabling" in the yaml file.<br>
<br>
-Coop<br>
<span class="im HOEnZb"><br>
On 1/24/2017 7:30 AM, erik clark wrote:<br>
> I am seeing packets truncated at about 1 or 2 with tpacket_v3 running. With<br>
> the default of 1514, I was not seeing packets truncated unless I had bro<br>
> and suricata running at the same time. Not sure why that might have been.<br>
> Still waiting on a response from RH, but this appears to work combined with<br>
> the ixgbe patch on RHEL7.<br>
><br>
> On Fri, Jan 20, 2017 at 5:28 PM, Cooper F. Nelson <<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a>> wrote:<br>
><br>
>> > Look for log entries with "trunc_pkt" in the stats.log file to see if<br>
>> > you aren't capturing full packets.<br>
>> ><br>
>> > You have to explicitly enable the tpacket-v3 setting in suricata.yaml to<br>
>> > make use of it.<br>
>> ><br>
>> > -Coop<br>
>> ><br>
<br>
<br>
</span><div class="HOEnZb"><div class="h5">--<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ITS Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
<br>
</div></div></blockquote></div><br></div>