Thread Info
  • State Not Answered
  • Replies 24 replies
  • Subscribers 0 subscribers
  • Views 12181 views
  • Users 0 members are here
Options
Suggested

[7.460][BUG][FIXED] High Memory Usage of snort

Billybob
Just installed the new package and noticed that my memory usage is pretty high. I think the problem is snort. If you look at the rules that are available compared to the ones that are enabled, its almost the same number. There were a lot of rules that were disabled before.

Memory is 896mb ( I am a cheap a$$) and it is a dual processor machine with no load and only 3 users.
Parents
  • 0
    Certainly is a lot of rules to run up, my memory usage was quite a bit less so I started playing around with the number of rules as well and difference between 5506 patterns and 7900 only looks to be about 1% memory difference on my system running with 1GB.

    On the other hand playing with the web security and turning on IM/P2P and AV scanners changing from single to dual scan increased the amount used by 7%.

    With all this on I'm sitting at about 58% usage with very little traffic going through the system.
  • 0 in reply to Cath
    I think the difference is coming in with the number of cpu's (dual core etc). If you look at the release notes, they mentioned...

    Major New Things
    Intrusion Protection Performance
    *Uses new version of the IPS engine
    *Scales massively when used with Multi-Core CPU/Appliances

    I had talked about this previously when 7.45 was first released. Snort runs 2 instances when running on dual proc/core machine; therefore twice the memory usage.
  • 0 in reply to Billybob
    Ah, that would make sense for the multiproc, I'm only running on a single cpu system.
  • 0 in reply to Billybob

    I had talked about this previously when 7.45 was first released. Snort runs 2 instances when running on dual proc/core machine; therefore twice the memory usage.


    So if I have 1CPU with HyperThreading, how many Snorts do I get?

    On 7.402, Snort uses between 5% and 60% of my CPU, depending on how much Bittorrent traffic I have going, and if I'm copying files across LANs, so I'm not especially worried about performance, but memory usage is a big concern.

    Thanks,
    Barry
  • 0 in reply to BarryG
    Well my virtual system takes 68% of 1 GByte of vRAM (HTTP AV active). Enabling HTTP AV takes approx. 10-12% for no reason (AV engine should be loaded already through SMTP/FTP/POP3 AV, at least to my understanding)?

    Regards,
    Bastian
Reply Children
No Data