<div dir="ltr"><div>I have a cluster running Bro 2.6.4. One host runs a manager and logger, 8 other hosts run proxy and worker nodes.</div><div><br></div><div>Lately the logger node has not been able to keep up with the logs, and I&#39;ve noticed that the most recent entries in the current/conn.log are significantly delayed (I&#39;ve seen delays as high as 90 minutes).</div><div><br></div><div>The logger process has maxed out CPU usage on core 1. The node.cfg file specifies 8 CPU cores (all on the same NUMA node as the NVMe drive where the logs are written):</div><div><br></div><div>[logger]</div>type=logger<br>host=<a href="http://bromanager-01.umn.edu">bromanager-01.umn.edu</a><br><div>pin_cpus=1,3,5,7,9,11,13,15</div><div><br></div><div>`broctl nodes` shows that only 1 CPU core is pinned:<br></div><div><br></div><div>/usr/local/bro/bin/broctl nodes<br>         logger - addr=10.x.x.x aux_scripts= brobase= count=1 env_vars= ether= host=<a href="http://bromanager-01.umn.edu">bromanager-01.umn.edu</a> interface= lb_interfaces= lb_method= lb_procs= name=logger pin_cpus=1 test_mykey= type=logger zone_id=</div><div>...</div><div><br></div><div>Can pin_cpus be used with a logger node? Any other suggestions for improving logger performance?<br></div><div><br></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Chris Herdt<br>UIS Systems Administrator<br><a href="mailto:cherdt@umn.edu" target="_blank">cherdt@umn.edu</a><br></div></div>