<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">We are running into performance issues (30x slower) since the Broker patch (fe7e1ee) &#8211;<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">We have 40G connections tapped from our storage filers feeding multiple Bro instances which analyze specifically only NFS and SMB traffic; all other analyzers are disabled.&nbsp; With the broker patch we are seeing processing times for a ~1GB
 pcap jump from around 2 seconds to over &nbsp;1 minute. Profiling Bro, it looks like the culprit is the new Actor functions --
<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal"># Before patch<o:p></o:p></p>
<p class="MsoNormal">Overhead&nbsp; Shared Object&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Symbol<o:p></o:p></p>
<p class="MsoNormal">14.57%&nbsp; [kernel]&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;[k] copy_user_enhanced_fast_string<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; 3.20%&nbsp; bro&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [.] EventHandler::operator bool<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; 2.99%&nbsp; bro&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [.] _siphash<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; 2.89%&nbsp; bro&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [.] Dictionary::Lookup<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal"># After patch<o:p></o:p></p>
<p class="MsoNormal">Overhead&nbsp; Shared Object&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Symbol<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; 5.71%&nbsp; [kernel]&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [k] native_write_msr_safe<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; 3.84%&nbsp; libcaf_core.so.0.15.7&nbsp; [.] caf::scheduler::worker&lt;caf::policy::work_stealing&gt;::run<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; 3.71%&nbsp; libcaf_core.so.0.15.7&nbsp; [.] caf::detail::double_ended_queue&lt;caf::resumable&gt;::take_head<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; 3.29%&nbsp; [kernel]&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [k] _raw_spin_lock<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">Is the Bro development team still optimizing the Broker/Actor framework? It might be helpful to have a way to disable Broker for those of us who haven&#8217;t migrated to it yet.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">#&nbsp; ~1GB file time (old)<o:p></o:p></p>
<p class="MsoNormal">$ time /hostname/bro-devel/bin/bro -r 20180606-1049-prodfilers-truncated_00000_20180606104904.pcap&nbsp; master.bro<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">real&nbsp;&nbsp;&nbsp; 0m2.294s<o:p></o:p></p>
<p class="MsoNormal">user&nbsp;&nbsp;&nbsp; 0m1.862s<o:p></o:p></p>
<p class="MsoNormal">sys&nbsp;&nbsp;&nbsp;&nbsp; 0m0.385s<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">#&nbsp; ~1GB file time&nbsp; (new)<o:p></o:p></p>
<p class="MsoNormal">$ time /hostname/bro-devel/bin/bro -r 20180606-1049-prodfilers-truncated_00000_20180606104904.pcap master.bro<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">real&nbsp;&nbsp;&nbsp; 1m11.458s<o:p></o:p></p>
<p class="MsoNormal">user&nbsp;&nbsp;&nbsp; 0m58.933s<o:p></o:p></p>
<p class="MsoNormal">sys&nbsp;&nbsp;&nbsp;&nbsp; 1m34.074s<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">Thanks!<o:p></o:p></p>
<p class="MsoNormal">--Tim<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
</div>
<br>
<hr>
<font face="Arial" color="Gray" size="1"><br>
IMPORTANT: The information contained in this email and/or its attachments is confidential. If you are not the intended recipient, please notify the sender immediately by reply and immediately delete this message and all its attachments. Any review, use, reproduction,
 disclosure or dissemination of this message or any attachment by an unintended recipient is strictly prohibited. Neither this message nor any attachment is intended as or should be construed as an offer, solicitation or recommendation to buy or sell any security
 or other financial instrument. Neither the sender, his or her employer nor any of their respective affiliates makes any warranties as to the completeness or accuracy of any of the information contained herein or that this message or any of its attachments
 is free of viruses.<br>
</font>
</body>
</html>