Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 1653 views
  • Users 0 members are here
Options
Suggested

[8.050][BUG][OPEN] Snort memory usage on restart.

Billybob
When  IPV6 is stopped or restarted another instance of snort is spawned. I have a dual processor machine so two more processes are spawned in addition to the one that is already running. These processes eventually die and you are left again with a single process.

The amount of memory utilized by snort increases dramatically after the reload.

Can reproduce it by turning off any interface or just reloading snort /var/mdw/scripts/snort reload . The amount of memory used on subsequent reloads varies and is usually more than the time before but is never in the magnitude of the first reload. Using /var/mdw/scripts/snort restart works without any adverse effects of excessive memory use but it does stop traffic flow.[;)]

Screenshot1: Snort using around 129meg ram about normal initially. (PID 20200)

Screenshot2: Multiple instances of snort are spawned. I guess that is the way the reload script is run. (PID 20200 still there also)

Screenshot3: Snort process status report during reload showing multiple instances.

Screenshot4: The memory usage jumped to 231mb after the reload. Quite a significant increase. (PID 20200)

Regards 
Bill.
Parents
  • 0
    Hi Bill,
    Snort will spawn several processes depending on the amount of CPUs. But when Snort will be restarted e.g. for config changes, a new process will be spawned to check the configuration and to serve all connections while the "real" process(es) will be restarted.

    So the advantage is that Snort can be restarted without loosing any packages but the disadvantage is that it is memory and CPU consuming for a while.
Reply
  • 0
    Hi Bill,
    Snort will spawn several processes depending on the amount of CPUs. But when Snort will be restarted e.g. for config changes, a new process will be spawned to check the configuration and to serve all connections while the "real" process(es) will be restarted.

    So the advantage is that Snort can be restarted without loosing any packages but the disadvantage is that it is memory and CPU consuming for a while.
Children
Unfiltered HTML