<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:888494847;
        mso-list-type:hybrid;
        mso-list-template-ids:2137933566 67698705 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
        {mso-level-text:"%1\)";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level2
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level3
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level4
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level5
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level6
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level7
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level8
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level9
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Good morning,<o:p></o:p></p><p class=MsoNormal>I&#8217;m new to the list, and have been working on inheriting an existing zeek deployment that we have here.&nbsp; I&#8217;m trying to track down some (to me) excessive packet dropping.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>We had an older version of zeek (bro) installed and mostly functional, though as I recall they were having issues with workers occasionally crashing.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Before I started looking into things, a new version of zeek was deployed (from an binary) and is mostly vanilla.&nbsp; We&#8217;ve included the bhr and myricom plugin, but that&#8217;s about it.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Zeek master and workers run bare metal on 3 pretty big Intel hosts (192GB memory, 2x Xeon E5-2690 with 14cores/socket, Debian 9).&nbsp; The workers have myricom interfaces.&nbsp; There&#8217;s span ports at the edge that feed into Arista switches that feed the Myricom interfaces in the workers.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>We have a few issues:<o:p></o:p></p><p class=MsoListParagraph style='text-indent:-.25in;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='mso-list:Ignore'>1)<span style='font:7.0pt "Times New Roman"'>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span></span><![endif]>If I try to start up the workers with any more than ~8 threads, packet drop and memory usage goes through the roof in pretty short order.&nbsp; If I try to pin them, the first &#8220;worker&#8221; cpu&#8217;s get pegged pretty high and the others stay more or less idle (though that could be due to the amount of traffic the second worker interface is receiving).<o:p></o:p></p><p class=MsoListParagraph style='text-indent:-.25in;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='mso-list:Ignore'>2)<span style='font:7.0pt "Times New Roman"'>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span></span><![endif]>If I try to start up &#8220;1&#8221; worker (per worker node), using the &#8220;myricom::*&#8221; interface, the worker node goes unresponsive and needs to be hardware bounced.&nbsp; (Driver issue?)<o:p></o:p></p><p class=MsoListParagraph style='text-indent:-.25in;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='mso-list:Ignore'>3)<span style='font:7.0pt "Times New Roman"'>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span></span><![endif]>I can start workers nodes with multiple workers and ~5 threads each (currently &#8220;unpinned&#8221;), but after a few days, Packet drop is still excessive.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>My current node.cfg is below [1].&nbsp; Output from &#8216;zeekctl netstats&#8217; is also below [2].&nbsp; It&#8217;s been up since Friday ~2:00pm Eastern.&nbsp; Load average is higher than I would think it should be (given how much cpu these workers actually have, and how idle most of the cpu&#8217;s actually are).&nbsp; Htop output included [3].<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>I understand we should probably be pinning the worker threads, but the output of &#8216;lstopo-no-graphics&nbsp; --of txt&#8217; is terrible to try and trace with 56 threads available.&nbsp; Also, do I want to use the &#8220;P&#8221; or the &#8220;L&#8221; listings?&nbsp; I can include that as a follow up if necessary.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Please help!<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>[1]<o:p></o:p></p><p class=MsoNormal>================== <o:p></o:p></p><p class=MsoNormal>[manager]<o:p></o:p></p><p class=MsoNormal>type=manager<o:p></o:p></p><p class=MsoNormal>host=THE MASTER<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>[logger]<o:p></o:p></p><p class=MsoNormal>type=logger<o:p></o:p></p><p class=MsoNormal>host= THE MASTER<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>[proxy-1]<o:p></o:p></p><p class=MsoNormal>type=proxy<o:p></o:p></p><p class=MsoNormal>host= THE MASTER<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>[worker-1]<o:p></o:p></p><p class=MsoNormal>type=worker<o:p></o:p></p><p class=MsoNormal>host=WORKER 1<o:p></o:p></p><p class=MsoNormal>lb_method=custom<o:p></o:p></p><p class=MsoNormal>lb_procs=5<o:p></o:p></p><p class=MsoNormal>interface=myricom::eth4<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>[worker-2]<o:p></o:p></p><p class=MsoNormal>type=worker<o:p></o:p></p><p class=MsoNormal>host=WORKER 2<o:p></o:p></p><p class=MsoNormal>lb_method=custom<o:p></o:p></p><p class=MsoNormal>lb_procs=5<o:p></o:p></p><p class=MsoNormal>interface=myricom::eth4<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>[worker-3]<o:p></o:p></p><p class=MsoNormal>type=worker<o:p></o:p></p><p class=MsoNormal>host=WORKER 1<o:p></o:p></p><p class=MsoNormal>lb_method=custom<o:p></o:p></p><p class=MsoNormal>lb_procs=5<o:p></o:p></p><p class=MsoNormal>interface=myricom::eth5<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>[worker-4]<o:p></o:p></p><p class=MsoNormal>type=worker<o:p></o:p></p><p class=MsoNormal>host=WORKER 2<o:p></o:p></p><p class=MsoNormal>lb_method=custom<o:p></o:p></p><p class=MsoNormal>lb_procs=5<o:p></o:p></p><p class=MsoNormal>interface=myricom::eth5<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>=================================================<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>[2]<o:p></o:p></p><p class=MsoNormal>================<o:p></o:p></p><p class=MsoNormal>bro@bro-master-1:~$ zeekctl netstats<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Warning: ZeekControl plugin uses legacy BroControl API. Use<o:p></o:p></p><p class=MsoNormal>'import ZeekControl.plugin' instead of 'import BroControl.plugin'<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal> worker-1-1: 1581949346.194441 recvd=2178149468 dropped=2260820124 link=15063051356<o:p></o:p></p><p class=MsoNormal> worker-1-2: 1581949346.194473 recvd=274557259 dropped=2260820124 link=13159459147<o:p></o:p></p><p class=MsoNormal> worker-1-3: 1581949346.168558 recvd=1888926901 dropped=2260820124 link=14773828789<o:p></o:p></p><p class=MsoNormal> worker-1-4: 1581949346.081130 recvd=2110377092 dropped=2260820124 link=14995278980<o:p></o:p></p><p class=MsoNormal> worker-1-5: 1581949346.234478 recvd=1032618510 dropped=2260820124 link=13917520398<o:p></o:p></p><p class=MsoNormal> worker-2-1: 1581949346.269794 recvd=1551167612 dropped=640636540 link=14436069500<o:p></o:p></p><p class=MsoNormal> worker-2-2: 1581949346.271224 recvd=2811566586 dropped=640636540 link=15696468474<o:p></o:p></p><p class=MsoNormal> worker-2-3: 1581949346.292474 recvd=3295536154 dropped=640636540 link=16180438042<o:p></o:p></p><p class=MsoNormal> worker-2-4: 1581949346.314556 recvd=2505663441 dropped=640636540 link=15390565329<o:p></o:p></p><p class=MsoNormal> worker-2-5: 1581949343.011855 recvd=3459004896 dropped=640636540 link=20638874080<o:p></o:p></p><p class=MsoNormal> worker-3-1: 1581949346.239424 recvd=938819819 dropped=0 link=938819819<o:p></o:p></p><p class=MsoNormal> worker-3-2: 1581949346.249540 recvd=890104345 dropped=0 link=890104345<o:p></o:p></p><p class=MsoNormal> worker-3-3: 1581949346.259501 recvd=894787204 dropped=0 link=894787204<o:p></o:p></p><p class=MsoNormal> worker-3-4: 1581949346.269501 recvd=895479546 dropped=0 link=895479546<o:p></o:p></p><p class=MsoNormal> worker-3-5: 1581949346.274490 recvd=878546610 dropped=0 link=878546610<o:p></o:p></p><p class=MsoNormal> worker-4-1: 1581949346.329587 recvd=892356780 dropped=0 link=892356780<o:p></o:p></p><p class=MsoNormal> worker-4-2: 1581949346.344510 recvd=922981664 dropped=0 link=922981664<o:p></o:p></p><p class=MsoNormal> worker-4-3: 1581949346.349568 recvd=855515132 dropped=0 link=855515132<o:p></o:p></p><p class=MsoNormal> worker-4-4: 1581949346.359652 recvd=931447757 dropped=0 link=931447757<o:p></o:p></p><p class=MsoNormal> worker-4-5: 1581949346.368349 recvd=876976485 dropped=0 link=876976485<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>===========================================================<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>[3]<o:p></o:p></p><p class=MsoNormal>===================<o:p></o:p></p><p class=MsoNormal>&nbsp; 1&nbsp; [||&nbsp;&nbsp;&nbsp;&nbsp; 3.3%]&nbsp;&nbsp;&nbsp; 15 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]&nbsp;&nbsp; 29 [||&nbsp;&nbsp;&nbsp;&nbsp; 6.1%]&nbsp;&nbsp;&nbsp; 43 [||||||91.6%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 2&nbsp; [||&nbsp;&nbsp;&nbsp;&nbsp; 7.9%]&nbsp;&nbsp;&nbsp; 16 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]&nbsp;&nbsp; 30 [|||&nbsp;&nbsp; 14.2%]&nbsp;&nbsp;&nbsp; 44 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 3&nbsp; [|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3.3%]&nbsp;&nbsp;&nbsp; 17 [|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.4%]&nbsp;&nbsp; 31 [||||&nbsp; 20.2%]&nbsp;&nbsp;&nbsp; 45 [||&nbsp;&nbsp;&nbsp;&nbsp; 1.9%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 4&nbsp; [||&nbsp;&nbsp;&nbsp;&nbsp; 3.3%]&nbsp;&nbsp;&nbsp; 18 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]&nbsp;&nbsp; 32 [||&nbsp;&nbsp;&nbsp;&nbsp; 4.7%]&nbsp;&nbsp;&nbsp; 46 [|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.5%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 5&nbsp; [||&nbsp;&nbsp;&nbsp;&nbsp; 3.7%]&nbsp;&nbsp;&nbsp; 19 [||||||76.3%]&nbsp;&nbsp; 33 [||&nbsp;&nbsp;&nbsp;&nbsp; 4.2%]&nbsp;&nbsp;&nbsp; 47 [||&nbsp;&nbsp;&nbsp;&nbsp; 9.1%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 6&nbsp; [||&nbsp;&nbsp;&nbsp;&nbsp; 5.2%]&nbsp;&nbsp;&nbsp; 20 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]&nbsp;&nbsp; 34 [||||||39.5%]&nbsp;&nbsp;&nbsp; 48 [||&nbsp;&nbsp;&nbsp;&nbsp; 3.3%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 7&nbsp; [||&nbsp;&nbsp;&nbsp;&nbsp; 2.8%] &nbsp;&nbsp;&nbsp;21 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]&nbsp;&nbsp; 35 [||&nbsp;&nbsp;&nbsp;&nbsp; 5.2%]&nbsp;&nbsp;&nbsp; 49 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 8&nbsp; [||&nbsp;&nbsp;&nbsp;&nbsp; 5.6%]&nbsp;&nbsp;&nbsp; 22 [||&nbsp;&nbsp;&nbsp;&nbsp; 1.4%]&nbsp;&nbsp; 36 [||&nbsp;&nbsp;&nbsp;&nbsp; 3.7%]&nbsp;&nbsp;&nbsp; 50 [||&nbsp;&nbsp;&nbsp;&nbsp; 3.3%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 9&nbsp; [||&nbsp;&nbsp;&nbsp;&nbsp; 6.0%]&nbsp;&nbsp;&nbsp; 23 [|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.5%]&nbsp;&nbsp; 37 [|||&nbsp;&nbsp; 16.7%]&nbsp;&nbsp;&nbsp; 51 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 10 [||&nbsp;&nbsp;&nbsp;&nbsp; 1.9%]&nbsp;&nbsp;&nbsp; 24 [|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.5%]&nbsp;&nbsp; 38 [||||||56.5%]&nbsp;&nbsp;&nbsp; 52 [||&nbsp;&nbsp;&nbsp;&nbsp; 7.1%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 11 [||&nbsp;&nbsp;&nbsp;&nbsp; 2.8%]&nbsp;&nbsp;&nbsp; 25 [||||||88.4%]&nbsp;&nbsp; 39 [||&nbsp;&nbsp;&nbsp;&nbsp; 6.6%]&nbsp;&nbsp;&nbsp; 53 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 12 [|||&nbsp;&nbsp; 13.6%]&nbsp;&nbsp;&nbsp; 26 [||&nbsp;&nbsp;&nbsp;&nbsp; 1.4%]&nbsp;&nbsp; 40 [||||| 30.7%]&nbsp;&nbsp;&nbsp; 54 [||&nbsp;&nbsp;&nbsp;&nbsp; 0.9%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 13 [|||&nbsp;&nbsp; 15.2%]&nbsp;&nbsp;&nbsp; 27 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]&nbsp;&nbsp; 41 [||&nbsp;&nbsp;&nbsp;&nbsp; 3.3%]&nbsp;&nbsp;&nbsp; 55 [||&nbsp;&nbsp;&nbsp;&nbsp; 0.9%]<o:p></o:p></p><p class=MsoNormal>&nbsp; 14 [||&nbsp;&nbsp;&nbsp;&nbsp; 4.8%]&nbsp;&nbsp;&nbsp; 28 [&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0%]&nbsp;&nbsp; 42 [||&nbsp;&nbsp;&nbsp;&nbsp; 8.1%]&nbsp;&nbsp;&nbsp; 56 [||&nbsp;&nbsp;&nbsp;&nbsp; 2.3%]<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>&nbsp; Mem[||||||||||||||||||||||119G/188G]&nbsp;&nbsp; <o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;Swp[&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0K/191G]&nbsp;&nbsp; <o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Tasks: 58, 107 thr; 3 running<o:p></o:p></p><p class=MsoNormal>Load average: 6.79 6.10 5.83<o:p></o:p></p><p class=MsoNormal>Uptime: 2 days, 18:59:33<o:p></o:p></p></div></body></html>