Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 14316 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

urid not running - restarted

aaronsalkeld
I am hoping someone else has come across this issue and has a known resolution for it.

I have a home edition of Sophos UTM running on a HP desktop for about a year now and have always keep it up to date with the latest firmware versions. I am currently running version 9.313-3 and am receiving a number of emails with 'urid not running - restarted'.

I have rebooted this machine to see if that helps but I still receive these emails. I am not sure what has cause this but am thinking that maybe changing the exception expressions within Web Protection - Filtering Options has something to do with it. I have a number of exceptions for different websites as I have web filtering setup to decrypt and scan.

I have changed all of my exception rule to be have the same format with look like this one '^https?://([A-Za-z0-9.-]*\.)?domain\.com\.au/'.

These email come at random times but i do not know why. I have received these before in the past but only the odd one or two. I am now receiving these about 12 times day, even during late night and early morning.

Any assistant with this would be greatly appreciated.

Thanks
Aaron


This thread was automatically locked due to age.
  • 0
    The urid service is for SXL website categorization.  Are you seeing errors or lots of uncategorized in the Web Filtering log?

    This was a known issue recently, but was supposed to be fixed in 9.312.
    ID33818 9.301 Web Filter category blocking not working because URID fails to restart
    ------------------------------------------------------------------------
    Description:
    Workaround:
    Fixed in:     9.312

    It could be a regression bug.  

    You've a few choices here.  Try restoring a prior config-backup.  Wait for 9.314 (due very soon).  Do a reinstall from ISO, then restore a prior config-backup.  Dropping SXL categorization and switching to the older CCF categorization (log into the shell, elevate to root, then run "cc set http use_sxl_urid 0" (without quotes).
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Scott, Thanks for your very quick reply. 

    I can see these errors in the Web Filtering log for when I receive an email:
    2015:07:22-21:51:10 salkeldfam httpproxy[5691]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xb4ed800" function="urid_categorize_url" file="uri_scanner.c" line="241" message="urid_query failed: (-4) ", but only then.

    I do see 'Categorization failed' but only when I receive the above errors, otherwise they have a category.

    I did think about a reinstall but I have a certificate that I would have to redeploy to all devices again. I might wait until 9.314 comes out and see if this resolves my issue. If not then I go back to CCF, but would prefer not to make any customised changes as I like leaving them at the default settings.

    Thanks again and lets see how we go.
  • 0
    OK, that information gives us a couple of other granular things we can try.

    1)  You can add a URL Filter exception rule for your mail site.  Web Protection > Filtering Options > Exceptions.  This should keep the proxy from trying to do a categorization lookup for the site.

    2)  At Web Protection > Filtering Options > Websites, add the site and do a category and reputation override for it.

    Let's see if either of these make the errors go away.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Scott, thanks again for your assistance.

    One thing that I explaing correctly was these emails that I receive, are from the Sophos device and have the 'urid not running - restarted' in the subject field. When I check the web filtering log, the errors appears at the same time I receive the email. So I am not sure what URL is causing the error or email to appear.

    I hope this make sense. Sorry for the confusion.

    Cheers
  • 0
    Is there a related entry just before the error?  Do you know what the address is for your webmail service?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Steve,
    I am receiving these emails after the error occurs because I have the system set up this eay, so I believe the error happens and then I receive the email.

    I have checked the web filtering log before this issue happens and there are a couple of categorized failed errors for a google and apple URL.
  • 0
    the error happens and then I receive the email
    This is correct.

    2015:07:22-21:51:10 salkeldfam httpproxy[5691]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xb4ed800" function="urid_categorize_url" file="uri_scanner.c" line="241" message="urid_query failed: (-4) ", but only then.
    This is what is generating the error.  You need to figure out what the URL is for this, then you'll be able to create that exception and the error should go away.  Look at log entries just prior to this error in the web filtering log.  Try testing them to see if one of them is causing this.  You can also try correlating the time of the error in the logs with your browser history (of course it could be some program based call home or update check, which wouldn't be in a browser history).
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Hi.

    As someone who knows a lot about urid....  this should never happen.  [[:)]]

    Can you please tell me if there are any files in
    /var/storage/cores/

    If there are urid files in there then urid is crashing - which I've only seen once.

    What is the output of this command?  Should be 10.
    wc -l /var/storage/chroot-http/etc/swa/urid.conf

    If it is not, then delete the file /var/storage/chroot-http/etc/swa/urid.conf and reboot and it will be recreated.

    If that doesn't fix the problem....  hope someone with a support contract also has this issue.  [[:)]]
  • 0
    Michael, thanks for entering this discussion.

    I have found the device that is causing the issue. It is a iPad 4 running iOS 8.4. I have powered it off and I have not received any errors since this morning. When I get home I will try your instructions and let you know.
  • 0
    under the /var/storage/cores directory I have these files:
    httpproxy.Confd.5334
    urid.18818
    urid.19090
    urid.18710
    urid.18860
    urid.19391

    Running the WC command, I do get a 10.

    Not sure what to do now?

    Thanks
Unfiltered HTML