Jesse, thanks for following up.  Can you send borked settings so we can try to prevent such outcomes?<br><br>Russ<br><br><div class="gmail_quote">On Thu, Jul 5, 2012 at 1:28 PM, Jesse Bowling <span dir="ltr"><<a href="mailto:jessebowling@...2499..." target="_blank">jessebowling@...3035.....</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello everyone,<br><br>Not sure if this list is active, but wanted to note that the issue I mentioned earlier went away after I tweaked the stream5 settings for the snort instances. I had removed some lines from the stream5 processing configuration in an attempt to not track UDP; instead I caused UDP 'sessions' to be track without limit.<br>

<br>Needless to say, this caused some performance issues. :)<br><br>Sorry for the false alarm,<br><br>Jesse<div class="HOEnZb"><div class="h5"><br><br><div class="gmail_quote">On Tue, Jul 3, 2012 at 5:55 PM, Jesse Bowling <span dir="ltr"><<a href="mailto:jessebowling@...2499..." target="_blank">jessebowling@...2499...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div>Hello,<br><br>While running snort 2.9.2.3 on modest hardware with 
PF_RING I've found that after 1 - 3 hours the snort processes have used 
enough memory to cause swapping, which in turn leads to iowait, which 
leads to additional system time, which ends in a death spiral with snort
 and PF_RING dropping and failing to analyze almost all traffic on a 
link averaging 200-400 MB/s of traffic. This appears to also be the case
 with 2.9.3_rc1.<br>
<br>Some particulars are included below, but before the wall of text I wanted to ask:<br><br>Is there a known memory leak in these version?<br><br>Are there snort.conf options I can/should tweak to limit the amount of memory that snort uses on this limited resource machine?<br>





<br>What tools or techniques can I use to help profile the performance 
issue and isolate it's source? I'm fairly certain the issue lies within 
snort, but I'd like to have something more definitive than 
top/vmstat/sar output.<br>
<br>How can I download previous versions of snort? I've built this 
monitoring stack before and did not observe issues of this nature then; 
I'd like to fall back to an older version and confirm that it functions 
properly.<br>
<br>Thanks in advance,<br><br>Jesse<br><br>Tech details:<br><br>Linux sensor-test 2.6.32-279.el6.x86_64 #1 SMP Wed Jun 13 18:24:36 EDT 2012 x86_64 x86_64 x86_64 GNU/Linux<br>Red Hat Enterprise Linux Server release 6.3 (Santiago)<br>





<br>PF_RING Version     : 5.2.1 ($Revision: 5041$)<br>Ring slots          : 8192<br>Slot version        : 13<br>Capture TX          : No [RX only]<br>IP Defragment       : No<br>Socket Mode         : Standard<br>Transparent mode    : No (mode 2)<br>





Total rings         : 2<br>Total plugins       : 0<br><br># snort --version<br><br>   ,,_     -*> Snort! <*-<br>  o"  )~   Version 2.9.3_rc GRE (Build 35) <br>   ''''    By Martin Roesch & The Snort Team: <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a><br>





           Copyright (C) 1998-2012 Sourcefire, Inc., et al.<br>           Using libpcap version 1.1.1<br>           Using PCRE version: 7.8 2008-09-05<br>           Using ZLIB version: 1.2.3<br><br># snort --version<br><br>





   ,,_     -*> Snort! <*-<br>  o"  )~   Version 2.9.2.3 GRE (Build 205) <br>   ''''    By Martin Roesch & The Snort Team: <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a><br>





           Copyright (C) 1998-2012 Sourcefire, Inc., et al.<br>           Using libpcap version 1.1.1<br>           Using PCRE version: 7.8 2008-09-05<br>           Using ZLIB version: 1.2.3<br><br clear="all">$ ./configure --with-libpcap-includes=/usr/<div>




local/include --with-libpcap-libraries=/usr/local/lib --with-dnet-includes=/usr/local/include --with-dnet-libraries=/usr/local/lib --disable-ipv6 --disable-active-response --disable-react<br>
<br>DAQ:<br>It was created by daq configure 0.6.2, which was<br>generated by GNU Autoconf 2.67.  Invocation command line was<br><br>  $ ./configure --with-libpcap-includes=/usr/local/include --with-libpcap-libraries=/usr/local/lib</div>




<br clear="all"><br>-- <br>Jesse Bowling<br><br><br>
</div></div></blockquote></div><br><br clear="all"><br></div></div><span class="HOEnZb"><font color="#888888">-- <br>Jesse Bowling<br><br><br>
</font></span><br>------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br>