<div dir="ltr">Ring size is 20000<div><br></div><div>tpacket-v3 is not set to yes, not sure if that would make a siginificant difference. On a 4.4 kernel, maybe?</div><div><br></div><div>defrag.memcap = 512mb</div><div>flow.memcap = 128mb</div><div>stream.memcap = 4gb</div><div>stream.reassembly.memcap = 4gb</div><div>host.memcap = 32 mb</div><div><br></div><div>mtu is 1500</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 13, 2017 at 8:13 AM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Thu, Jul 13, 2017 at 1:57 PM, erik clark <<a href="mailto:philosnef@gmail.com">philosnef@gmail.com</a>> wrote:<br>
> All, trying to find out who has worked with the SEPTun document that can<br>
> provide some insight into how much memory they are using to sniff traffic.<br>
><br>
> We (were) using 8 threads with 200 gigs of ram on a 2.5 Gb/s link. Until<br>
> earlier this week, our drop rate was ~2%. I just moved up to 16 threads,<br>
> still at 200 gigs of ram, since our throughput moved up a bit to ~3.1Gb/s<br>
> and saw a 12% drop rate.<br>
><br>
> We have 72 cores to work with, and 200 gigs of ram, and just moved to a 4.4<br>
> kernel from a modified 3.10 kernel. What seems reasonable on this kind of<br>
> hardware? We are limited to an 82598 ixgbe interface with a single link.<br>
><br>
<br>
</div></div>Seems very high memory consumption settings are in place in your case.<br>
<br>
SEPTun utilized 64-80 GB of RAM on the 20Gbps. (we also used some<br>
general guidance -<br>
<a href="http://pevma.blogspot.se/2015/10/suricata-with-afpacket-memory-of-it-all.html" rel="noreferrer" target="_blank">http://pevma.blogspot.se/2015/<wbr>10/suricata-with-afpacket-<wbr>memory-of-it-all.html</a><br>
for getting the calculation of the total possible consumption).<br>
<br>
Although sizeof(structPacket_) is much smaller now i believe - about 7-800bytes<br>
<br>
What also your default packet size (in suricata.yaml) or the MTU ?<br>
What is the otuput of -<br>
suricata --dump-config |grep memcap<br>
What is the ring size of the afpacket configuration?<br>
<br>
Thanks<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>