<div dir="ltr"><div><div>We have started seeing the same behavior periodically on several interfaces after applying the most recent kernel update (3.10.0-693.21.1.el7.x86_64) on our sensors (running CentOS 7).<br><br>Prior to this update, we did not observe this behavior in Suricata (we've been running this configuration since July 2017).<br><br>We're running Suricata 3.2.5 with the v3.0.13 of the Myricom SNF drivers.<br><br></div>We have a redundant set processing the same traffic and we do not see the same behavior on both sides at the same time, suggesting it is not related to a single flow.<br><br></div>We have 10 cores pinned to each Suricata instance (1 management, 9 workers), and when this behavior occurs one of the worker cores pegs at 100% utilization while the other cores on the same instance drop down to <1%.<br><br><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 26, 2018 at 3:18 PM, Erich Lerch <span dir="ltr"><<a href="mailto:erich.lerch@gmail.com" target="_blank">erich.lerch@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">No... I mean, I didn't try.<br>
But given the very low overall packet loss we experience (< 0.2%), it's<br>
not one of my top priorities :-)<br>
<span class="HOEnZb"><font color="#888888"><br>
Erich<br>
</font></span><span class="im HOEnZb"><br>
On <a href="tel:26.02.2018%2022" value="+12602201822">26.02.2018 22</a>:12, Peter Manev wrote:<br>
> On Mon, Feb 26, 2018 at 10:10 PM, Erich Lerch <<a href="mailto:erich.lerch@gmail.com">erich.lerch@gmail.com</a>> wrote:<br>
>> Hi Zach<br>
>><br>
>> Yes, happens here, too! Fortunately not too often, and only for a short<br>
>> period of time, before it normalizes again.<br>
>><br>
>> Never found out why exactly this happens, though.<br>
><br>
><br>
> Is it possible to narrow it down by some flowinfo that is observed<br>
> during the same period that it happens?<br>
><br>
</span><div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a></div></div></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Chris Herdt<br>Systems Administrator<br><a href="mailto:cherdt@umn.edu" target="_blank">cherdt@umn.edu</a><br><br></div>
</div></div>