<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div><br></div><div><br>On 28 Apr 2017, at 15:15, Renato Fontana <<a href="mailto:renatocfontana@gmail.com">renatocfontana@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Quick question regarding flowbit usage. <br>Does suricata loads rules with missing flowbit:set and/or flowbit:isset? <br><br><div>I know snort outputs warnings when one verification is missing.  <div>flowbits key 'X' is set but not ever checked. (flowbits:isset)</div><div>flowbits key 'Y' is checked but not ever set. (flowbit:set)</div><div><br></div><div>I'm not sure if these rule are still loaded when running Suricata starts or if they are skipped.<br><br></div></div></div></div></blockquote><div><br></div><div>Suricata will output a warning - but you can also see/double check that from the command line when starting suricata or from suricata.log</div><div><br></div><div><br></div><br><blockquote type="cite"><div><div dir="ltr"><div><div>Thanks!<br><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-10-18 11:11 GMT+02:00 Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 18-10-16 07:56, Amin Saba wrote:<br>
> Are there any artificial limits on the maximum number of flows an<br>
> instance of suricata can handle?<br>
<br>
</span>The only limit is your flow.memcap setting or your available memory,<br>
which ever comes first.<br>
<br>
Performance will depend on your hash table size.<br>
<span class=""><br>
> What about the number of flowbits/flowints defined over those flows?<br>
<br>
</span>This is only limited by available memory.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
------------------------------<wbr>---------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/<wbr>victorjulien.asc</a><br>
------------------------------<wbr>---------------<br>
<br>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 9-11 in Washington, DC: <a href="http://suricon.net" rel="noreferrer" target="_blank">http://suricon.net</a></font></span></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a></span><br><span>Site: <a href="http://suricata-ids.org">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/">http://suricata-ids.org/support/</a></span><br><span>List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a></span><br></div></blockquote></body></html>