<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">
  </head>
  <body bgcolor="#ffffff" text="#000000">
    when upgrading, I also check to make sure we arn't dropping MORE
    packets than a previous upgrade.<br>
    <br>
    after upgrading from 2.8.4 to 2.8.6, I noticed (what seems like)
    massive packet losses.. but they arn't.<br>
    <br>
    is it possible that 2.8.4 counted packets differently?<br>
    <br>
    example:<br>
    <br>
    sending a SIGUSR1 to snort (platform freebsd) caused statistics to
    be dumped to syslog.<br>
    example:<br>
    <br>
    <pre wrap="">(grep for Analyzed)
Feb 25 03:08:53  snort[67663]:    Analyzed:   1595471419 (68.159%)
</pre>
    at first look, it looks like we are only capturing 68% of the
    traffic, and dropping the other 32%.<br>
    <br>
    however, this does not take into account bpf filters.<br>
    <br>
    as it turns out, the bpf filter is dropping a lot of traffic I don't
    want to see, and, if you look at the 'Match' count below, it is
    exactly the same as snort saw.<br>
    <br>
    <pre wrap="">  Pid  Netif   Flags      Recv      Drop     Match Sblen Hblen Command
67663    wan p--s--- 2340794601         0 1595471419     0     0 snort
</pre>
    <div class="moz-signature">So, question(s)<br>
      #1, what would you expect to see in 'Analyzed' stats after a
      sigusr1? <br>
      #2, did this change before 2.8.6?<br>
      <br>
      the way the stats are now, they are misleading, at best.  made me
      chase around for a week or so at best before I understood it.<br>
      (the more hosts I bpf'ed out, the worst the stats got!!!)<br>
      <br>
      <br>
      -- <br>
      Michael Scheidell, CTO<br>
      o: 561-999-5000<br>
      d: 561-948-2259<br>
      ISN: 1259*1300<br>
      <font color="#999999">></font><font color="#cc0000"> <b>| </b></font>SECNAP
      Network Security Corporation
      <style type="text/css">
<!--
.unnamed1 {
        margin: 1em;
        padding: 1px;
} -->
</style>
      <ul class="unnamed1">
        <li>Certified SNORT Integrator</li>
        <li>2008-9 Hot Company Award Winner, World Executive Alliance</li>
        <li>Five-Star Partner Program 2009, VARBusiness</li>
        <li>Best in Email Security,2010: Network Products Guide</li>
        <li>King of Spam Filters, SC Magazine 2008</li>
      </ul>
    </div>
  
<br>
<div id="disclaimer.secnap.com"><hr />
<p>This email has been scanned and certified safe by SpammerTrap®.
<br />For Information please see
<a href="http://www.secnap.com/products/spammertrap/">http://www.secnap.com/products/spammertrap/</a></p> <hr /></div>
<br>
</body>
</html>