<div dir="ltr"><div>Can you double-check if your Suricata is linked against libpcap with myricom support?</div><div><br></div><div>ldd `which suricata` (unless you load the snf-ed libpcap in a different way, like with LD_ variables)</div><div><br></div><div>Setting the SNF_DEBUG_MASK=3 is also helpful to see if the libsnf is being used</div><div><br></div><div>What's the output of myri_counters?</div><div><br></div><div>Victor might be right here, can you share some small packet dump, to see if your traffic is encapsulated in a way SNF cannot understand?</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jul 1, 2019 at 11:52 AM Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 28-06-19 09:02, Fabian Franz wrote:<br>
> Hi all, <br>
> <br>
> <br>
> I am currently trying to get Suricata to work together with a Myricom<br>
> card running a Sniffer10G driver. The problems I have seem to be<br>
> somewhat similar to what Alexander Merck described on this list in Feb<br>
> 2018<br>
> (<a href="https://lists.openinfosecfoundation.org/pipermail/oisf-users/2018-February/007790.html" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/pipermail/oisf-users/2018-February/007790.html</a>)<br>
> but I could not find an answer to the problem in there and did not want<br>
> to dig up such an old thread. <br>
> <br>
> <br>
> I have installed the card and the driver on a Ubuntu 18.04 server with<br>
> 64gigs of RAM and 16 cores (including HT). I followed the instructions<br>
> here: <a href="https://blog.inliniac.net/2012/07/10/suricata-on-myricom-capture-cards/" rel="noreferrer" target="_blank">https://blog.inliniac.net/2012/07/10/suricata-on-myricom-capture-cards/</a> and<br>
> here: <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Myricomto" rel="noreferrer" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Myricomto</a><br>
> build and run suricata. <br>
> <br>
> The card seems to be working and when viewing the debug output using one<br>
> of the snf driver tools everything seems fine. However, no debug output<br>
> is generated when setting the debug flag while running suricata. <br>
> <br>
> Now this wouldn't bother me too much if it wasn't for the stats.log<br>
> file. This looks like the following:<br>
> <br>
> <br>
<snip><br>
> <br>
> <br>
> Seemingly, only one worker thread is getting a considerable amount of<br>
> packets while the others are more or less idle. This can also be<br>
> confirmed when looking at the load of the single threads using htop.<br>
> Surely this can't be right? Did I miss anything when setting up the<br>
> driver and/or suricata? Is there a configuration flag or smiliar that I<br>
> did not set?<br>
> <br>
> <br>
> The traffic I am currently seeing varies between 1 and 6Gbps. Especially<br>
> when I am seeing more than 3 Gbps, the capture.kernel_drops counter also<br>
> of W#01 rises pretty quickly to more than 10%.<br>
> <br>
> <br>
> I would be very grateful for any help or hints!<br>
<br>
I wonder if this could be related to how the card or snf software load<br>
balances the traffic. Could all traffic have some kind of encapsulation<br>
that leads the card to send it all to queue 0? It's been too long since<br>
I've looked at the snf options, so I can't remember what settings there are.<br>
<br>
Can you share a stats.log record? Perhaps it will hold some clues.<br>
<br>
-- <br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div>