High CPU After 9.310-11 Update

I think this is a bug/idiosyncrasy in cssd's rebuilding of the AV database immediately after a pattern update.  If you are using single-scan, switch to dual - that worked for me in the one instance I encountered.  William made that suggestion remembering an old bug.

Cheers - Bob
PS If you have a paid subscription, please get Sophos Support involved.  I think the bug in cssd is that it tries to use all possible memory to rebuild the database, causing all of the CPU to be used to manage swapping.

I had exactly this. 2 x ASG 320s that were fine for a few days after 9.310-11 then all of a sudden both spiked to 80-99% on Tuesday 21st April. Weird this was both units surged at the same time and they are on different sites.

They sustained very high CPU out of hours when nobody is in the office when normally they would be around 2-5% as they maintain a few REDs.

Sophos support suggested change to Avira engine which made it worse so changed back to Sophos. Scheduled a late night reboot and that sorted it.

I would add that I suspect there was something else at play here, to have two separate units spike at the same time, to get the usual "dodge and evade" suggestions from support and then it magically fix on a reboot

Maybe Im so paranoid with all the other 9.3 problems I have suffered I just dont trust things like I used to

Maybe Im so paranoid with all the other 9.3 problems I have suffered I just dont trust things like I used to

No reason to.  Trust and respect should be earned.  There's an old idiom that applies quite well: "Fool me once, shame on you; fool me twice, shame on me".  [;)]

I tried that and still see them spike every so often. Now, I have an issue where it is consuming over 75% of it's memory constantly :-\

At Support > Advanced > Process List you can see exactly what process is using up all the memory.  As Bob suggested above, if you have a paid license, open up a support ticket with Sophos.

I've already submitted a ticket to Sophos, but sometimes they can take a while to get the problem solved - especially when it's happening on a number of devices! The good thing though is that I am in Vegas for their security conference - so I have a bunch of gurus to ask in person!

Deactivating the "Advanced Threat Protection" lets us have useable Network, but that cannot be a permanent solution.

I think this is a bug/idiosyncrasy in cssd's rebuilding of the AV database immediately after a pattern update.  If you are using single-scan, switch to dual - that worked for me in the one instance I encountered.  William made that suggestion remembering an old bug.

Cheers - Bob
PS If you have a paid subscription, please get Sophos Support involved.  I think the bug in cssd is that it tries to use all possible memory to rebuild the database, causing all of the CPU to be used to manage swapping.

That's the funny part wtih mine, mine was always single scan, but I had to change ENGINES from Avira to Sophos to stop the high CPU usage.  That was a problem for me since 9.3 released I believe.

if you are low on ram yes single engine is the way to go..but if you have at least 4 gigs of ram switch to dual and enjoy added security and lower cpu time..[:)]