Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4555 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.006-5] SAVI engine scan failed

jcherian
On Sunday out of the blue, the web protection started to block all web traffic on the Sophos 9.006-5 running on a Pentium 4, 1GB RAM. Users were seeing "failed to get SAVI instance: no saviglue context". Reboots of the firewall did not help.

When the firewall's AV scanning was turned off in Web Protection: Web Filtering: Antivirus/Malware, web traffic started to work again.

When the firewall's Scan settings was changed from Sophos to Avira, under Management: System Settings: Scan Settings, and when the AV scanning was turned back on, web traffic continued to work.

The http.log shows errors like (I have attached a log extract): 

ERROR: Failed to load Sophos Anti-Virus threat data
SAVI engine scan failed: Unknown SAVI error
SAVI init failed: One of the files in a split-virus data set has the wrong checksum

Can anyone tell me what happened to the SAVI engine? Is this a bug or RAM exhaustion?


This thread was automatically locked due to age.
Parents
  • 0
    uh no..if you only have 1 gigs of ram in the machine stick with 1 av...you need to double(preferably quintuple) the ram in that box as the minimum for v9 is 2 gigs.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    I had something similar happen to me today after an update:

    2013:05:12-19:43:16 hostname httpproxy[16114]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xaf91958" function="savi_scan" file="saviscanner.c" line="86" message="failed to get SAVI instance: no saviglue context [0x00000000]"

    I could not access the web either until I disabled antivirus on web filtering.  Finding this post, I switched to Avira and things started working again.

    I am however a little baffled by the response.  It seems very strange to me that one would have to reinstall the entire system because of a bad SAV update.  I just don't understand that at all.  Seems like you should be able to simply revert the update or reinstall the update in case it didn't go well.  I'm assuming there is something I am just not understanding at all and would appreciate any explanation.

    Additionally, I am new to Sophos UTM (testing out the Home Edition in place of my currently running Endian UTM which works great other than needing a better antivirus engine that's up to date).  As I've been learning this new software and ran across this issue, I've been peeking at the process list under Support > Advanced, and couldn't find a daemon or related service for Sophos or Avira.  How are these listed in the process list or is that service somehow only engaged by httpproxy as needed?  Along the same lines, but not necessarily related to this issue, if the antivirus service simply just hung or stopped, then outside of restarting the box, would a restart of httpproxy also restart antivirus (whether Sophos or Avira)?

    Lastly, just for reference my box is a quad core with 8 GB of RAM (so my issue shouldn't be related to the 1 GB issue just mentioned  [:)]

    Thanks again for your help and patience!
Reply
  • 0 in reply to William Warren
    I had something similar happen to me today after an update:

    2013:05:12-19:43:16 hostname httpproxy[16114]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xaf91958" function="savi_scan" file="saviscanner.c" line="86" message="failed to get SAVI instance: no saviglue context [0x00000000]"

    I could not access the web either until I disabled antivirus on web filtering.  Finding this post, I switched to Avira and things started working again.

    I am however a little baffled by the response.  It seems very strange to me that one would have to reinstall the entire system because of a bad SAV update.  I just don't understand that at all.  Seems like you should be able to simply revert the update or reinstall the update in case it didn't go well.  I'm assuming there is something I am just not understanding at all and would appreciate any explanation.

    Additionally, I am new to Sophos UTM (testing out the Home Edition in place of my currently running Endian UTM which works great other than needing a better antivirus engine that's up to date).  As I've been learning this new software and ran across this issue, I've been peeking at the process list under Support > Advanced, and couldn't find a daemon or related service for Sophos or Avira.  How are these listed in the process list or is that service somehow only engaged by httpproxy as needed?  Along the same lines, but not necessarily related to this issue, if the antivirus service simply just hung or stopped, then outside of restarting the box, would a restart of httpproxy also restart antivirus (whether Sophos or Avira)?

    Lastly, just for reference my box is a quad core with 8 GB of RAM (so my issue shouldn't be related to the 1 GB issue just mentioned  [:)]

    Thanks again for your help and patience!
Children
No Data
Unfiltered HTML