Thread Info
  • State Not Answered
  • Replies 24 replies
  • Subscribers 0 subscribers
  • Views 12178 views
  • Users 0 members are here
Options
Suggested

[7.460][BUG][FIXED] High Memory Usage of snort

Billybob
Just installed the new package and noticed that my memory usage is pretty high. I think the problem is snort. If you look at the rules that are available compared to the ones that are enabled, its almost the same number. There were a lot of rules that were disabled before.

Memory is 896mb ( I am a cheap a$$) and it is a dual processor machine with no load and only 3 users.
Parents
  • 0
    Certainly is a lot of rules to run up, my memory usage was quite a bit less so I started playing around with the number of rules as well and difference between 5506 patterns and 7900 only looks to be about 1% memory difference on my system running with 1GB.

    On the other hand playing with the web security and turning on IM/P2P and AV scanners changing from single to dual scan increased the amount used by 7%.

    With all this on I'm sitting at about 58% usage with very little traffic going through the system.
  • 0 in reply to Cath
    I think the difference is coming in with the number of cpu's (dual core etc). If you look at the release notes, they mentioned...

    Major New Things
    Intrusion Protection Performance
    *Uses new version of the IPS engine
    *Scales massively when used with Multi-Core CPU/Appliances

    I had talked about this previously when 7.45 was first released. Snort runs 2 instances when running on dual proc/core machine; therefore twice the memory usage.
  • 0 in reply to Billybob
    Ah, that would make sense for the multiproc, I'm only running on a single cpu system.
  • 0 in reply to Billybob

    I had talked about this previously when 7.45 was first released. Snort runs 2 instances when running on dual proc/core machine; therefore twice the memory usage.


    So if I have 1CPU with HyperThreading, how many Snorts do I get?

    On 7.402, Snort uses between 5% and 60% of my CPU, depending on how much Bittorrent traffic I have going, and if I'm copying files across LANs, so I'm not especially worried about performance, but memory usage is a big concern.

    Thanks,
    Barry
  • 0 in reply to BarryG
    Well my virtual system takes 68% of 1 GByte of vRAM (HTTP AV active). Enabling HTTP AV takes approx. 10-12% for no reason (AV engine should be loaded already through SMTP/FTP/POP3 AV, at least to my understanding)?

    Regards,
    Bastian
  • 0 in reply to BarryG
    I acutally notice my own ASG running quite lean, with over now 8600 patterns (up first by an addition of around 1300 more rules, and now another 300).

    The mem usage is currently sitting at just over 300MB, with IPS, Web, VPNs, and other things running.


    Hi Angelo,
    One thing I've noticed regarding memory usage is that the accounting page under reporting can use a LOT of memory... I've seen memory usage grow to over 1GB (from a baseline of 350MB or less, according to 'free') when trying to view that page.
    I've posted about it previously at
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32305

    Thanks,
    Barry
Reply Children
No Data