<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Arial, sans-serif" size="2">
<div>Hi,</div>
<div><font face="Times New Roman, serif" size="3"> </font></div>
<div>I have a couple of questions about performance and rule tuning.</div>
<div><font face="Times New Roman, serif" size="3"> </font></div>
<div>Performance:</div>
<div><font face="Times New Roman, serif" size="3"> </font></div>
<div>I’m seeing quite a bit of dropped packets on one of my sensors.  Traffic is about 30-60 Mb/s.  From the reading I’ve done, it seems like the first thing is to make sure your variables are set in snort.conf, and probably the next is to move to mmaped pcap. 
I’ve attempted to do both of these, however, I was wondering if snort is actually using the mmapped pcap or not. Is there any way to tell?</div>
<div> </div>
<div>I did the following:</div>
<div>- apt-get remove libpcap-dev</div>
<div>- built the mmapped pcap</div>
<div>- rebuilt snort</div>
<div>- put PCAP_FRAMES=32768 in my script file that starts snort</div>
<div> </div>
<div>There aren’t many “how-to” articles out there for doing this, and I hope I did everything right.</div>
<div> </div>
<div>Rule Tuning:</div>
<div> </div>
<div>Is the optimal way of tuning out false positives using suppress rules in threshold.conf ?  I am using oinkmaster to download new rules each day, so I’m assuming that commenting out rules won’t work.</div>
<div> </div>
<div>Thanks!</div>
<div>Shawn</div>
<div><font face="Times New Roman, serif" size="3"> </font></div>
</font>
</body>
</html>