<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004>Guys,</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004>I have a Dual 
processor Dell poweredge 1600SC box having intel Xeon 
2Ghz processors and 128 Meg Ram and it is running snort win32 
version.  <SPAN class=519072516-02022004>I can see a lot of alerts 
on acid console and cpu utlization of the box remains within 5 
%.</SPAN></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004><SPAN 
class=519072516-02022004>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004>I have snort running 
in service mode  with following comand line through IDS 
centre.</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004>c:\Snort\bin\snort.exe -c "c:\Snort\etc\snort.conf" -l 
"c:\Snort\log" -i 1</SPAN></FONT></DIV></SPAN></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004><SPAN 
class=519072516-02022004></SPAN></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004>Quite interestingly 
When i run snort in VERBOSE mode using   snort -v -i1 on the 
command prompt, i can see snort logging packets and  when i stop 
it, it shows dropped packets and cpu utlization of the box, when i 
run snort in verbose mode, goes to 45- 50%</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004>===============================================================================</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004>Snort analyzed 9094 
out of 10327 packets, 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+<BR>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 
</SPAN></FONT><FONT face=Arial size=2><SPAN class=519072516-02022004>dropping 
1233(11.306%) packets<BR></SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004>Is it possible that 
snort is dropping packets <STRONG>only in verbose mode</STRONG> and not 
otherwise ?</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004>Appreciate any help 
on this.</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004>Below are few lines 
taken from snort website :</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=519072516-02022004><STRONG><FONT 
color=#ff0000><FONT color=#000000>" If Snort is going to be used in a long term 
way as an IDS,</FONT> <FONT color=#0000ff>the -v switch should be left off the 
command line for the sake of speed. The screen is a slow place to write data to, 
and packets can be dropped while writing to the display.</FONT></FONT><FONT 
color=#0000ff> "</FONT></STRONG></DIV></SPAN></FONT>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004> </DIV></SPAN></FONT>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004>Thanks</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=519072516-02022004>KS</SPAN></FONT></DIV>
<DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV></DIV></BODY></HTML>