<div dir="ltr">Oh sorry.  In one instance it took 20-25 minutes.  Another took an hour.  In both cases the bandwidth utilization was under 1Gbps.</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 30, 2018 at 4:06 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Jan 30, 2018 at 9:46 PM, Steve Castellarin<br>
<<a href="mailto:steve.castellarin@gmail.com">steve.castellarin@gmail.com</a>> wrote:<br>
> It will stay 100% for minutes, etc - until I kill Suricata.  The same goes<br>
> with the associated host buffer - it will continually drop packets.  If I do<br>
> not stop Suricata, eventually a second CPU/host buffer pair will hit that<br>
> 100% mark, and so on.  I've had instances where I've let it go to 8 or 9<br>
> CPU/buffers at 100% before I killed it - hoping that the original CPU(s)<br>
> would recover but they don't.<br>
><br>
<br>
</span>I meant something else.<br>
In previous runs you mentioned that one or more buffers start hitting<br>
100% right after 15 min.<br>
In the two previous test runs - that you tried with 1/2 the ruleset -<br>
how long did it take before you started seeing any buffer hitting 100%<br>
?<br>
<div class="HOEnZb"><div class="h5"><br>
> On Tue, Jan 30, 2018 at 3:34 PM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br>
>><br>
>> On Tue, Jan 30, 2018 at 8:49 PM, Steve Castellarin<br>
>> <<a href="mailto:steve.castellarin@gmail.com">steve.castellarin@gmail.com</a>> wrote:<br>
>> > Hey Peter,<br>
>> ><br>
>> > Unfortunately I continue to have the same issues with a buffer<br>
>> > overflowing<br>
>> > and a CPU staying at 100%, repeating over multiple buffers and CPUs<br>
>> > until I<br>
>> > kill the Suricata process.<br>
>><br>
>> For what period of time o you get to the 100% ?<br>
>><br>
>> ><br>
>> > On Thu, Jan 25, 2018 at 9:14 AM, Steve Castellarin<br>
>> > <<a href="mailto:steve.castellarin@gmail.com">steve.castellarin@gmail.com</a>> wrote:<br>
>> >><br>
>> >> OK I'll create a separate bug tracker on Redmine.<br>
>> >><br>
>> >> I was able to run 4.0.3 with a smaller ruleset (13,971 versus 29,110)<br>
>> >> for<br>
>> >> 90 minutes yesterday, without issue, before I had to leave.  I'm<br>
>> >> getting<br>
>> >> ready to run 4.0.3 again to see how it runs and for how long.  I'll<br>
>> >> update<br>
>> >> with results.<br>
>> >><br>
>> >> On Thu, Jan 25, 2018 at 9:00 AM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>><br>
>> >> wrote:<br>
>> >>><br>
>> >>> On Wed, Jan 24, 2018 at 6:27 PM, Steve Castellarin<br>
>> >>> <<a href="mailto:steve.castellarin@gmail.com">steve.castellarin@gmail.com</a>> wrote:<br>
>> >>> > If a bug/feature report is needed - would that fall into Bug #2423<br>
>> >>> > that<br>
>> >>> > I<br>
>> >>> > opened on Redmine last week?<br>
>> >>> ><br>
>> >>><br>
>> >>> Separate is probably better.<br>
>> >>><br>
>> >>> > As for splitting the rules, I'll test that out and let you know what<br>
>> >>> > happens.<br>
>> >>> ><br>
>> >>><br>
>> >>><br>
>> >>> --<br>
>> >>> Regards,<br>
>> >>> Peter Manev<br>
>> >><br>
>> >><br>
>> ><br>
>><br>
>><br>
>><br>
>> --<br>
>> Regards,<br>
>> Peter Manev<br>
><br>
><br>
<br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>