This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.006-5] SAVI engine scan failed

On Sunday out of the blue, the web protection started to block all web traffic on the Sophos 9.006-5 running on a Pentium 4, 1GB RAM. Users were seeing "failed to get SAVI instance: no saviglue context". Reboots of the firewall did not help.

When the firewall's AV scanning was turned off in Web Protection: Web Filtering: Antivirus/Malware, web traffic started to work again.

When the firewall's Scan settings was changed from Sophos to Avira, under Management: System Settings: Scan Settings, and when the AV scanning was turned back on, web traffic continued to work.

The http.log shows errors like (I have attached a log extract): 

ERROR: Failed to load Sophos Anti-Virus threat data
SAVI engine scan failed: Unknown SAVI error
SAVI init failed: One of the files in a split-virus data set has the wrong checksum

Can anyone tell me what happened to the SAVI engine? Is this a bug or RAM exhaustion?


This thread was automatically locked due to age.
Parents
  • Seems like you should be able to simply revert the update or reinstall the update

    It's not possile to revert pattern updates.  Re-installing an update likely would have no effect even if it were possible.  These problems usually arise because the update file itself had an issue.  Re-imaging is the only way to get updates re-installed, and one would just count on the update itself having been repaired on the Sophos servers.

    I googled "no saviglue context" and saw that you and jcherian are the first people ever to report this message anywhere (congratulations! [;)]), so, unless one of the Sophos developers sees your post, I doubt that all of your questions can be answered.  You probably won't see antivirus running in the process list unless you can time the display to coincide with doing AV on a large file that's smaller than your max scan-size.

    I suspect that restarting httpproxy via the CLI would not cause AV to restart.  It should work to disable all anti-virus scanning (Web Filtering, FTP and SMTP) in WebAdmin and then re-enable it in all three.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Seems like you should be able to simply revert the update or reinstall the update

    It's not possile to revert pattern updates.  Re-installing an update likely would have no effect even if it were possible.  These problems usually arise because the update file itself had an issue.  Re-imaging is the only way to get updates re-installed, and one would just count on the update itself having been repaired on the Sophos servers.

    I googled "no saviglue context" and saw that you and jcherian are the first people ever to report this message anywhere (congratulations! [;)]), so, unless one of the Sophos developers sees your post, I doubt that all of your questions can be answered.  You probably won't see antivirus running in the process list unless you can time the display to coincide with doing AV on a large file that's smaller than your max scan-size.

    I suspect that restarting httpproxy via the CLI would not cause AV to restart.  It should work to disable all anti-virus scanning (Web Filtering, FTP and SMTP) in WebAdmin and then re-enable it in all three.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data