<div dir="ltr"><div dir="ltr">Hello,<div><br></div><div>One more thing I wanted to ask. Are the rule profiling logs written only when suricata process is restarted/shut down? We are running Suricata inside a docker container, maybe that has something to do with it (when process is terminated, container goes down basically)</div><div><br></div><div>Thanks,</div><div><br></div><div>Konrad</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jan 24, 2019 at 11:22 AM Konrad Weglowski <<a href="mailto:konrad.weglowski@gmail.com">konrad.weglowski@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hey Andreas,<div><br></div><div>Sorry for late reply. I did run a pcap as per below and I can see rule profiling logs appear.</div><div><br></div><div>suricata --runmode single -r <pcap file><br></div><div><br></div><div>Is there a way to get this to work with pfring?</div><div><br></div><div>Thanks,</div><div><br></div><div>Konrad</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail-m_5779696537543813780gmail_attr">On Tue, Jan 15, 2019 at 4:03 PM Andreas Herz <<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Konrad,<br>
<br>
On 15/01/19 at 15:39, Konrad Weglowski wrote:<br>
> Hey Andreas,<br>
> <br>
> I did double check with "--build-info" command that it is enabled and log<br>
> dir is set correct/writable - other logs get written there no problem<br>
> (alerts,stats, etc)<br>
> <br>
> build-info related output:<br>
> ---<br>
>   Profiling enabled:                       yes<br>
>   Profiling locks enabled:                 no<br>
> ---<br>
> <br>
> Below is command to run suricata used:<br>
> <br>
> suricata --pfring-int=p4p1 --pfring-cluster-id=98<br>
> --pfring-cluster-type=cluster_flow --pidfile /var/run/suricata.pid<br>
<br>
Could you try another runmode? At least with a test .pcap and the -r<br>
runmode and see if it's working then?<br>
<br>
> Do I need anything added under "outputs" section? Currently we use eve-log<br>
> format for alerts and stats which is configured there.<br>
> <br>
> Thanks<br>
> <br>
> Konrad<br>
> <br>
> On Tue, Jan 8, 2019 at 3:30 PM Andreas Herz <<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>> wrote:<br>
> <br>
> > Hi Konrad,<br>
> ><br>
> > On 08/01/19 at 15:01, Konrad Weglowski wrote:<br>
> > > Hello,<br>
> > ><br>
> > > I would like to enable rule profiling for tuning purposes. Suricata has<br>
> > > been compiled with profiling option and below config is in the<br>
> > > suricata.yaml. None of the log files are being created however...do you<br>
> > > know what can be possibly missing here?<br>
> ><br>
> > Did you double check if it's enabled when you pass '--build-info'?<br>
> ><br>
> > How do you start/run suricata?<br>
> ><br>
> > The log dir is set correct and writeable?<br>
> ><br>
> > Greetings<br>
> ><br>
> > --<br>
> > Andreas Herz<br>
> > _______________________________________________<br>
> > Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
> > Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
> > List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> ><br>
> > Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
> > Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a><br>
<br>
-- <br>
Andreas Herz<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div></div>
</blockquote></div></div>