Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 26 replies
  • Subscribers 4 subscribers
  • Views 18094 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High CPU After 9.310-11 Update

CWanamaker
Has anyone else noticed a much high CPU usage after this update? Most of the time, our UTM's will hover around 15-20% but every once in a while, they will spike up to 85%+ and stay that way for a period of time. We also noticed that it's happening across multiple UTMs at the exact same time. Different clients, different network but a number of them spike at the same time. Anyone else had this experience as well?


This thread was automatically locked due to age.
  • 0
    Encountered this problem too, just a few days ago.
    Today I was quick and looked at top and got the following:



    The duration was about 5 to 10 minutes and http traffic going through the utm was very slow at the time.
    The log from WebAdmin shows a peak of 100% cpu usage for this time.
    Before and after everything just runs as it should and there are no other strange things in the daily overview-graphs.

    I think this is a bug/idiosyncrasy in cssd's rebuilding of the AV database immediately after a pattern update.  If you are using single-scan, switch to dual - that worked for me in the one instance I encountered.  William made that suggestion remembering an old bug.


    Where do I change the setting? Is it Email protection => SMTP => AV? If yes, I have selected the dual scan since some years now.


    I am using an UTM 220 Rev 5 with 9.310-11.
    And a question about the memory. top says I have about 100mb free memory while the WebAdmin graph says I use about 75% memory. Which can be trusted more?
  • 0
    top is more reliable.  you are swapping at 50% you need more ram..and in your case with utm series now being end of sale and soon to be end of life you need a new appliance..one with a minimum of 4 gigs of ram.  Talk to your reseller.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Agreed with William.  The 40+% in "wa" (wait) also indicates that the UTM is running out of resources.  I would try going to single-scan, tuning Intrusion Prevention and other ideas suggested by the link in Sascha Paris' signature block.  You might be able to take enough load off until you can get a new SG unit funded.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    ZeusDionysos, what did support determine regarding the apparent high resource usage (I/O, RAM, CPU)?
  • 0 in reply to teched_01
    Hi all,

    I also have a report from a customer with that behaviour (UTM 220).

    I´m still trying to figure it out if this only happened after applying the latest up2date (9.310-11). As far the customer tells me, yes - this happened after applying this latest version.

    I would be great if you can share with us support conclusions regarding your issue ZeusDionysos.
  • 0 in reply to PeterRL
    I see also performance issues with UTM 120 / 220 appliances and this firmwareversion...
    Seems to be nearly at the same time...
    Maybe related to AV pattern updates or Intrusion Prevention or ATP?
    I already tried to config manually pattern updates in Up2Date and reduced reporting but it seems not to solve this issue...

    [:S]
  • 0
    Peter, und Freund Weissflog, please try the suggestions I made above, especially changing from single- to dual-scan or vice versa.  Any luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Balfson,

    i´ve changed the scan settings (in my case to single scan).

    Let´s see how it goes. I´ve also added to the crontab the ATOP monitoring process to check eventually what could be wrong (thank you teched for the articles).

    From what i´ve seen, in fact the issue seems to be related to the cssd process that takes all CPU resources to itself - when this happens http browsing (and even access to the webadmin) is completely impossible.
  • 0 in reply to PeterRL
    ZeusDionysos, what did support determine regarding the apparent high resource usage (I/O, RAM, CPU)?


    I have not opened a support case for this problem.

    But I had a similar problem back the days when we used an ASG 220 Rev.4 with only 1GB memory. Back then the problems affected all users, resulting in something like timeouts for about 5 minutes. The support wanted me to disable some features I had activated, but this was not a long time fix for me. So we upgraded back then to our current UTM 220 Rev. 5. Sad is just that the hardware was only strong enough to run for about 2 years and a few months without having ressource problems.

    Hi all,

    I also have a report from a customer with that behaviour (UTM 220).

    I´m still trying to figure it out if this only happened after applying the latest up2date (9.310-11). As far the customer tells me, yes - this happened after applying this latest version.

    I would be great if you can share with us support conclusions regarding your issue ZeusDionysos.


    I'm sorry, but currently I have no support case running regarding my problem.
    But yes, as far as I can remember, the problems occured first in 9.310-11.

    What is support saying to each of you?

    Have you reviewed these Knowledgebase articles?

    https://www.sophos.com/en-us/support/knowledgebase/121222.aspx
    https://www.sophos.com/en-us/support/knowledgebase/120835.aspx


    I'll take a look on the support documents. If I have something new I'll reply.
Unfiltered HTML