<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>
<br><br>Hello Everyone,<br><br>I recently compiled and installed snort 2.9.2.3 on two of our linux systems:<br><br>Unfortunately I keep seeing these messages:<br><br>S5: Session exceeded configured max bytes to queue 1048576 using 1049202 bytes (client queue). <br>S5: Session exceeded configured max bytes to queue 1048576 using 1049202 bytes (client queue). <br>S5: Session exceeded configured max bytes to queue 1048576 using 1048872 bytes (client queue). <br><br>The default stream5 configuration is of course not optimum.<br><br>As I understand from  README.stream5 it is possible to raise the memcap from<br>default (8MB) to (1GB):<br> <br>memcap <bytes>          - Memcap for TCP packet storage.  The default<br>                              is "8388608" (8MB), maximum is "1073741824" (1GB),<br>                              minimum is "32768" (32KB).<br><br>The memcap is course set to maximum.<br><br>One of the machines is equipped with 72GB of RAM, but I guess that wont<br>help anything since I can't raise the memcap further.<br><br>I have tried many different things in order to tune it, unfortunately without<br>success. <br><br>This is the start up line:<br><br>./bin/snort  -c etc/snort.conf --daq-dir=/localdisk1/lib/daq --daq afpacket --daq-mode passive --daq-var buffer_size_mb=3900 -i eth2 -b -l $livedatadir/livealert<br><br>Any suggestions what to do?<br><br>As a side note: interestingly on an ancient installation 2.8.4 (with Phil Woods mmap) these<br>problems were not there. Also the performance of that old installation seemed<br>to be clearly better than the performance of the current 2.9.2.3 installation (even<br>though the HW where the 2.9.2.3 is installed, is superior to the 2.8.4 one) <br><br>Thank you in advance,<br>Christian<br><br><br><br>                                         </div></body>
</html>