<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>RE: [Snort-users] Snort to Oracle</TITLE>

<META content="MSHTML 6.00.2800.1126" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=886345621-03012003>It is 
running on a sun Netra separate form Snort and my web server.  It really 
starts bogging down at over 100K alerts.</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=886345621-03012003><SPAN 
class=886345621-03012003>The Netra easily reaches 100% CPU when doing queries 
when the database is over 100K alerts.</SPAN></SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=886345621-03012003><SPAN 
class=886345621-03012003></SPAN>I have an Sun E220r sitting around with dual 
procs, maybe that will work better?</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=886345621-03012003>Ahh 
well, I made some major changes to the rulebase today and it is not alerting as 
much now, but I will find out soon if this will work.</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=886345621-03012003></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=886345621-03012003>Thanks 
for all of your suggestions.</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=886345621-03012003></SPAN></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN 
class=886345621-03012003>Steve</SPAN></FONT></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> O'Flynn, Derek 
  [mailto:DOFlyn@...6551...]<BR><B>Sent:</B> Friday, January 03, 2003 2:48 
  PM<BR><B>To:</B> 'Steve Suehring'; 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-users] Snort 
  to Oracle<BR><BR></FONT></DIV>
  <P><FONT size=2>I have at least 15k alerts per day running on MySQL and don't 
  have an issue.  I usually keep about 300k alerts in my database before I 
  purge any out.</FONT></P>
  <P><FONT size=2>Machine is a P4 - 1.8Ghz, 1GB Ram running Redhat 7.3, Snort 
  1.9</FONT> </P>
  <P><FONT size=2>Derek</FONT> </P>
  <P><FONT size=2>-----Original Message-----</FONT> <BR><FONT size=2>From: Steve 
  Suehring [<A href="mailto:snort@...7160...">mailto:snort@...7160...</A>] 
  </FONT><BR><FONT size=2>Sent: Friday, January 03, 2003 1:24 PM</FONT> 
  <BR><FONT size=2>To: snort-users@lists.sourceforge.net</FONT> <BR><FONT 
  size=2>Subject: Re: [Snort-users] Snort to Oracle</FONT> </P>
  <P><FONT size=2>On Fri, Jan 03, 2003 at 01:07:53PM -0500, Nicholas Bachmann 
  wrote:</FONT> <BR><FONT size=2>> > I am getting well over 15K detected 
  attempts a day and my database</FONT> <BR><FONT size=2>> > grows too 
  quickly for MySql to handle (my current setup)</FONT> </P>
  <P><FONT size=2>MySQL shouldn't have any problems handling 15K of anything per 
  day.  </FONT></P>
  <P><FONT size=2>I personally wouldn't have much faith in Oracle handling it 
  better, all</FONT> <BR><FONT size=2>things being equal.  Oracle has 
  higher overhead and 15K of records isn't</FONT> <BR><FONT size=2>that much 
  data to begin with.  Obviously if you're running MySQL on a 486</FONT> 
  <BR><FONT size=2>and Oracle on a P4 there would be a difference.  
  :)</FONT> </P>
  <P><FONT size=2>Are there specific issues that you're seeing with 
  MySQL?</FONT> </P>
  <P><FONT size=2>Steve</FONT> </P><BR>
  <P><FONT size=2>-------------------------------------------------------</FONT> 
  <BR><FONT size=2>This sf.net email is sponsored by:ThinkGeek</FONT> <BR><FONT 
  size=2>Welcome to geek heaven.</FONT> <BR><FONT size=2><A 
  href="http://thinkgeek.com/sf" 
  target=_blank>http://thinkgeek.com/sf</A></FONT> <BR><FONT 
  size=2>_______________________________________________</FONT> <BR><FONT 
  size=2>Snort-users mailing list</FONT> <BR><FONT 
  size=2>Snort-users@lists.sourceforge.net</FONT> <BR><FONT size=2>Go to this 
  URL to change user options or unsubscribe:</FONT> <BR><FONT size=2><A 
  href="https://lists.sourceforge.net/lists/listinfo/snort-users" 
  target=_blank>https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT> 
  <BR><FONT size=2>Snort-users list archive:</FONT> <BR><FONT size=2><A 
  href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" 
  target=_blank>http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT> 
  </P></BLOCKQUOTE></BODY></HTML>