<div dir="ltr">It will stay 100% for minutes, etc - until I kill Suricata.  The same goes with the associated host buffer - it will continually drop packets.  If I do not stop Suricata, eventually a second CPU/host buffer pair will hit that 100% mark, and so on.  I've had instances where I've let it go to 8 or 9 CPU/buffers at 100% before I killed it - hoping that the original CPU(s) would recover but they don't.</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 30, 2018 at 3:34 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Jan 30, 2018 at 8:49 PM, Steve Castellarin<br>
<<a href="mailto:steve.castellarin@gmail.com">steve.castellarin@gmail.com</a>> wrote:<br>
> Hey Peter,<br>
><br>
> Unfortunately I continue to have the same issues with a buffer overflowing<br>
> and a CPU staying at 100%, repeating over multiple buffers and CPUs until I<br>
> kill the Suricata process.<br>
<br>
</span>For what period of time o you get to the 100% ?<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
> On Thu, Jan 25, 2018 at 9:14 AM, Steve Castellarin<br>
> <<a href="mailto:steve.castellarin@gmail.com">steve.castellarin@gmail.com</a>> wrote:<br>
>><br>
>> OK I'll create a separate bug tracker on Redmine.<br>
>><br>
>> I was able to run 4.0.3 with a smaller ruleset (13,971 versus 29,110) for<br>
>> 90 minutes yesterday, without issue, before I had to leave.  I'm getting<br>
>> ready to run 4.0.3 again to see how it runs and for how long.  I'll update<br>
>> with results.<br>
>><br>
>> On Thu, Jan 25, 2018 at 9:00 AM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br>
>>><br>
>>> On Wed, Jan 24, 2018 at 6:27 PM, Steve Castellarin<br>
>>> <<a href="mailto:steve.castellarin@gmail.com">steve.castellarin@gmail.com</a>> wrote:<br>
>>> > If a bug/feature report is needed - would that fall into Bug #2423 that<br>
>>> > I<br>
>>> > opened on Redmine last week?<br>
>>> ><br>
>>><br>
>>> Separate is probably better.<br>
>>><br>
>>> > As for splitting the rules, I'll test that out and let you know what<br>
>>> > happens.<br>
>>> ><br>
>>><br>
>>><br>
>>> --<br>
>>> Regards,<br>
>>> Peter Manev<br>
>><br>
>><br>
><br>
<br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>