[7.460][BUG][FIXED] High Memory Usage of snort

Hi Guys, thanks for the feedback on this issue.  We will be setting this in the backend to now do some intelligent checks on load for number of Snort processes run per system.

Basically in order to ensure best performance on systems with 1GB of RAM only 1 process will be allowed to run.  Systems with 2GB or more will be configured to run the multiple instances for greater performance if they have multi core cpus however will only allow up to number of CPU - 1 process so there will always be at least one processor independent of snort for better overall performance of other processes.

Basically in order to ensure best performance on systems with 1GB of RAM only 1 process will be allowed to run.  Systems with 2GB or more will be configured to run the multiple instances for greater performance if they have multi core cpus however will only allow up to number of CPU - 1 process so there will always be at least one processor independent of snort for better overall performance of other processes.

Isn't that what you guys do now in 7.4. Snippet from /var/mdw/scripts/snort 

# For SMP systems, bind snort process to first CPU
        taskset -p 1 `pidof $SNORT_BIN_CHROOT` > /dev/null

 
I guess we are ready for the next beta. I think this technique will choke the processor unnecessarily with multiple instances but I guess we'll see.

Thanks for the update
Regards.

Basically in order to ensure best performance on systems with 1GB of RAM only 1 process will be allowed to run.  Systems with 2GB or more will be configured to run the multiple instances for greater performance if they have multi core cpus however will only allow up to number of CPU - 1 process so there will always be at least one processor independent of snort for better overall performance of other processes.

Isn't that what you guys do now in 7.4. Snippet from /var/mdw/scripts/snort 

# For SMP systems, bind snort process to first CPU
        taskset -p 1 `pidof $SNORT_BIN_CHROOT` > /dev/null

 
I guess we are ready for the next beta. I think this technique will choke the processor unnecessarily with multiple instances but I guess we'll see.

Thanks for the update
Regards.

Hi Billybob, in 7.4 the snort would only ever use 1 processor and just needed a decision assigned to the process for which one it would use.  The new snort engine is multiprocessor capable which is the big improvement for parallel processing.

Note that the fix for the IPS multiple processors missed 7.470 going out the door and so will be included in a future beta release.  Manual processor assignment will still work using CC however.

Excellent, I get it now. It wasn't smp capable, you were just assigning it to the first processor.
Thanks again.
Regards.
Bill.

Excellent, I get it now. It wasn't smp capable, you were just assigning it to the first processor.

Exactly without smp capable we could only see performance gains by doing cluster of units rather than multiprocessor.