Mike,<br><br>I could be quite wrong here, but as I understand it, rule profiling is only going to give you statistics for rules that actually consumed CPU cycles (ticks), and were actually checked. and then, only the worse performers out of rules checked. What determines whether or a rule is checked against and consumes CPU time would the rule trees that snort creates and whether or not snort has your particular network traffic checked against the rule tree where the rules you are looking to profile are actually loaded.<br>
<br>Additionally, I do not believe having profile statistics are going to provide much value against a small PCAP. the idea of rule profiling statistics being that you want to get an idea as to how much CPU time a given rule or set of rules is going to consume against what is considered real world traffic for your network, and whether or not the rule is going to cause unacceptable delay in processing. and a small PCAP isn't going to give you a sufficient cross section to determine that -- at least in my very humble opinion.<br>
<br>Sincerely,<br><br>DA.<br><br><br>
<br><div class="gmail_quote">On Mon, Nov 12, 2012 at 6:04 PM, Mike Cox <span dir="ltr"><<a href="mailto:mike.cox52@...2420..." target="_blank">mike.cox52@...2420...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

When running a small pcap thru Snort that is configured for rule<br>
profiling, I don't see Rule Profile Statistics for rules that were<br>
loaded but did not match (i.e. alert) on anything.  I see Rule Profile<br>
Statistics on the rule(s) that did generate an alert.<br>
<br>
Is this normal?<br>
<br>
What is the criteria for rule profile stats?  Is it polling based such<br>
that a small pcap gets processed before the polling interval is<br>
realized unless a rule fires?<br>
<br>
How do you do perf test on small pcaps?  (I sense a comment from Joel<br>
coming saying testing small pcaps isn't useful....)<br>
<br>
Thanks.<br>
<br>
-Mike Cox<br>
<br>
------------------------------------------------------------------------------<br>
Monitor your physical, virtual and cloud infrastructure from a single<br>
web console. Get in-depth insight into apps, servers, databases, vmware,<br>
SAP, cloud infrastructure, etc. Download 30-day Free Trial.<br>
Pricing starts from $795 for 25 servers or applications!<br>
<a href="http://p.sf.net/sfu/zoho_dev2dev_nov" target="_blank">http://p.sf.net/sfu/zoho_dev2dev_nov</a><br>
_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net" target="_blank">Snort-devel@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br><br clear="all"><br>-- <br>when does reality end? when does fantasy begin?<br>