<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:SimSun;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
@font-face
        {font-family:SimSun;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
span.EmailStyle20
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">Hi,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Thanks for your response!<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">And I want to check do you mean if I specify “-i eth0 eth1”, then packets from eth0 will be processed by thread #1, packets from eth1 will be processed by thread #2... like this mode?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Regards,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Ricky<o:p></o:p></span></p>
<p class="MsoNormal"><a name="_MailEndCompose"><span style="color:#1F497D"><o:p> </o:p></span></a></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="color:windowtext">From:</span></b><span style="color:windowtext"> Russ [mailto:rucombs@...589...]
<br>
<b>Sent:</b> Tuesday, April 21, 2015 11:39 PM<br>
<b>To:</b> Li, Ricky; Snort-users@lists.sourceforge.net<br>
<b>Subject:</b> Re: [Snort-users] How to enable multi-thread processing with Snort3?<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-size:12.0pt"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal">On 4/21/15 11:22 AM, Li, Ricky wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">I’m trying to run snort3 with multi-thread processing feature, I tried with this command:<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">$my_path/bin/snort -i eth0 -c $SNORT_LUA_PATH/snort.lua -R $SNORT_LUA_PATH/sample.rules -A alert_fast --max-packet-threads 3<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">My expectation is that there could be 3 threads processing the packets simultaneously, but the Top monitoring output is like:<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">[root@...17144... ~]# top -Hp 746<o:p></o:p></p>
<p class="MsoNormal">top - 15:12:43 up 51 min,  3 users,  load average: 0.44, 0.16, 0.23<o:p></o:p></p>
<p class="MsoNormal">Threads:   2 total,   1 running,   1 sleeping,   0 stopped,   0 zombie<o:p></o:p></p>
<p class="MsoNormal">%Cpu(s): 24.7 us,  0.3 sy,  0.0 ni, 50.7 id,  0.0 wa,  1.4 hi, 23.0 si,  0.0 st<o:p></o:p></p>
<p class="MsoNormal">KiB Mem:   4049676 total,   410984 used,  3638692 free,    11520 buffers<o:p></o:p></p>
<p class="MsoNormal">KiB Swap:        0 total,        0 used,        0 free,    85064 cached<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">  PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND<o:p></o:p></p>
<p class="MsoNormal">  755 root      20   0  302260 236636   5808 R 97.5  5.8   0:21.69 snort<o:p></o:p></p>
<p class="MsoNormal">  746 root      20   0  302260 236636   5808 S  0.7  5.8   0:02.93 snort<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Still only one thread busy running for processing the input packets, similar to what the Snort 2.X will do.<o:p></o:p></p>
<p class="MsoNormal">Is there any other options I need to specify to enable the multi-thread processing for Snort3? How can I enable it?<o:p></o:p></p>
</blockquote>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif">Snort++ currently requires external load balancing if you want to use multiple packet threads with live traffic.  In that case you can specify -i "eth0 eth1 eth2" or whatever. 
 Likewise with pcaps.  We are planning to add support for internal load balancing in a future version.<br>
<br>
<o:p></o:p></span></p>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Regards,<o:p></o:p></p>
<p class="MsoNormal">Ricky<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><br>
<br>
<br>
<o:p></o:p></span></p>
<pre>------------------------------------------------------------------------------<o:p></o:p></pre>
<pre>BPM Camp - Free Virtual Workshop May 6th at 10am PDT/1PM EDT<o:p></o:p></pre>
<pre>Develop your own process in accordance with the BPMN 2 standard<o:p></o:p></pre>
<pre>Learn Process modeling best practices with Bonita BPM through live exercises<o:p></o:p></pre>
<pre><a href="http://www.bonitasoft.com/be-part-of-it/events/bpm-camp-virtual">http://www.bonitasoft.com/be-part-of-it/events/bpm-camp-virtual</a>- event?utm_<o:p></o:p></pre>
<pre>source=Sourceforge_BPM_Camp_5_6_15&utm_medium=email&utm_campaign=VA_SF<o:p></o:p></pre>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><br>
<br>
<br>
<o:p></o:p></span></p>
<pre>_______________________________________________<o:p></o:p></pre>
<pre>Snort-users mailing list<o:p></o:p></pre>
<pre><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><o:p></o:p></pre>
<pre>Go to this URL to change user options or unsubscribe:<o:p></o:p></pre>
<pre><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><o:p></o:p></pre>
<pre>Snort-users list archive:<o:p></o:p></pre>
<pre><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><o:p></o:p></pre>
<pre><o:p> </o:p></pre>
<pre>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!<o:p></o:p></pre>
</blockquote>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><o:p> </o:p></span></p>
</div>
</body>
</html>