<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>% Packet Loss from the output of ThePigDoktah shows it over 100%. What is ThePigDoktah reading to get this output? <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Joel Esler (jesler) [mailto:jesler@...589...] <br><b>Sent:</b> Friday, May 02, 2014 3:14 PM<br><b>To:</b> Kurzawa, Kevin<br><b>Cc:</b> snort-users@lists.sourceforge.net<br><b>Subject:</b> Re: [Snort-users] Snort Stats (% Packet Loss)<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>In the line you posted here, it appears you dropped 3.44% of packets for that interval.  <o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><br><br>-- <o:p></o:p></p><div><p class=MsoNormal>Joel Esler<o:p></o:p></p></div><div><p class=MsoNormal>Sent from my iPhone<o:p></o:p></p></div></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>On May 2, 2014, at 15:09, "Kurzawa, Kevin" <<a href="mailto:kkurzawa@...16800...">kkurzawa@...16800...</a>> wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal>I recently set up ThePigDoktah for reading the perfmonitor stats output. The % Packet Loss it is giving is confusing me though. <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>I set the perfmonitor to poll every 60 seconds. <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Tcpdump will read 100,000 packets and not drop a single one from the interface. Even while snort is running. <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>I also see that the 2<sup>nd</sup> field in the stats output is the “pkt_drop_percent.” And my numbers hang around 3-5. Not >100. <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Can anyone help me understand the % packet loss? Obviously I’m not dropping 100% of my packets, I’m getting alerts and whatnot. I figure I just don’t understand it.<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><b>STATS FILE</b><o:p></o:p></p><p class=MsoNormal>#time,pkt_drop_percent …<o:p></o:p></p><p class=MsoNormal>1399057133,3.444,122.361,0.050,23.119,661,319.020,256.385,256.768,253.151,174.418,47222,47223,1925.093,0,8059,0.083,0.083,0.100,0.083,0.000,0.083,1,2,0,0,1,80.034,5.322,14.644,122.361,0.002,0.002,45.504,168.489,661,1120,2415,2954,842,23.119,0.000,0.000,1.925,25.008,1387151,49474,0,106.534,124.234,21022,22424,47223,3968,16638,27592,0.000,169.384,134.317,0.000,0.000,0,0,0.000,0,0.000,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,54898083,1.150<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><b>THE PIG DOKTAH REPORT</b><o:p></o:p></p><p class=MsoNormal>Report Info:<o:p></o:p></p><p class=MsoNormal>        Processed: stats<o:p></o:p></p><p class=MsoNormal>        First Entry: Fri May  2 14:46:53 2014<o:p></o:p></p><p class=MsoNormal>        Last Entry: Fri May  2 14:58:53 2014<o:p></o:p></p><p class=MsoNormal>        Time Span: 0 days, 0 hours, 12 minutes and 0 seconds<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Wirespeed:<o:p></o:p></p><p class=MsoNormal>        High: 138.603 Mbits/Sec | Fri May  2 14:55:53 2014<o:p></o:p></p><p class=MsoNormal>        Low: 99.941 Mbits/Sec | Fri May  2 14:46:53 2014<o:p></o:p></p><p class=MsoNormal>        Avg: 126.206 Mbits/Sec<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><b>% Packet Loss:</b><o:p></o:p></p><p class=MsoNormal><b>        High: 124.234% | Fri May  2 14:58:53 2014</b><o:p></o:p></p><p class=MsoNormal><b>        Low: 0.000% | Fri May  2 14:48:53 2014</b><o:p></o:p></p><p class=MsoNormal><b>        Avg: 120.063%</b><o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Additional Info:<o:p></o:p></p><p class=MsoNormal>        Avg Pkt Size: 659.974 bytes<o:p></o:p></p><p class=MsoNormal>        Avg Syns/Sec: 263.536<o:p></o:p></p><p class=MsoNormal>        Avg SynAcks/Sec: 263.990<o:p></o:p></p><p class=MsoNormal>        Avg Alerts/Sec: 0.061<o:p></o:p></p><p class=MsoNormal>        Avg Current Cached Sessions: 43037.147<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p></div></blockquote><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'>------------------------------------------------------------------------------<br>"Accelerate Dev Cycles with Automated Cross-Browser Testing - For FREE<br>Instantly run your Selenium tests across 300+ browser/OS combos.  Get <br>unparalleled scalability from the best Selenium testing platform available.<br>Simple to use. Nothing to install. Get started now for free."<br><a href="http://p.sf.net/sfu/SauceLabs">http://p.sf.net/sfu/SauceLabs</a><o:p></o:p></span></p></div></blockquote><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'>_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@...1753...s.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:<br><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br><br>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!<o:p></o:p></span></p></div></blockquote></div></body></html>