Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 2823 views
  • Users 0 members are here
Options
Suggested

[8.285][NOTABUG][CLOSED] High cpu usage

Vels
Upgraded my home ASG120 rev 4 today to latest beta.

The family complained about facebook hanging and sometimes not showing pictures. So I disabled webproxy and CPU exploded.. enabling it again makes no difference.

I found the following prpc process to be really hungry.. it has been running at 14% load most of the day until now where it rests around 65% and spikes at 99% 

root      4873  0.1  1.4  40032 29924 ?        Ss   15:16   0:58 confd [master]

root      4874  0.0  0.0   1796   556 ?        S    15:16   0:00  \_ logger -p daemon.debug -t confd[4873]

root      5170  0.0  1.3  39572 28208 ?        S    15:16   0:05  \_ confd [listener]

root      7173 94.4  1.3  37824 27188 ?        R    22:27  70:13      \_ confd [worker[:P]rpc:system]

root     12788  1.4  1.6  51080 34740 ?        S    23:27   0:12      \_ confd [worker[:P]rpc:webadmin]

root     12893  1.1  1.7  51336 34928 ?        S    23:29   0:08      \_ confd [worker[:P]rpc:webadmin]

root     14495  300  0.0   2616   944 ?        R    23:42   0:00      |   \_ ps auxwf

root     13208  1.5  1.6  51124 34708 ?        S    23:31   0:09      \_ confd [worker[:P]rpc:webadmin]

root     13924  0.2  1.5  42208 31440 ?        S    23:37   0:00      \_ confd [worker[:P]rpc:acc-agent]

root     14490 15.6  0.0      0     0 ?        Z    23:41   0:00      \_ [confd.plx] 
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.285
    Type: NOTABUG
    State: CLOSED
    Reporter: vels
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    Related to this (??) I am seeing a large number of entries in my confd-debug log (up to 44 megs a day) regarding the various system, webadmin, acc agent etc... referenced above. Confd-debugging perhaps on mistakenly?

    I see the same thing on 3 boxes all using the 8.285 beta.
  • 0 in reply to AngeloC
    I just reported this because it looked alot like this :
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21289

    Ment no offence posting this as a bug, but I will try to play around with some log settings.

    Rebootet the device last night after posting, which helped - but now here in the morning its running 65% cpu again and nobody is home - only serving webcam images and a few requests to a private webserver.
  • 0
    To find out what processes are causing the load, can you please run the commands

    [FONT="Courier New"]

    ps ax -o pcpu,cmd|sort -n -r|head
    ps ax -o rss,cmd |sort -n -r|head

    [/FONT]
    and post the output?

    Thanks,
    Kai
  • 0 in reply to kbr 
    asg220_silk:/home/login # ps ax -o pcpu,cmd|sort -n -r|head

    97.8 confd [worker[:P]rpc:system]

     5.3 /usr/sbin/acc-agent.plx --verbose=3 --daemon

     3.7 confd [worker[:P]rpc:webadmin]

     2.3 [confd.plx] 

     2.1 /var/webadmin/index.plx

     1.7 /usr/local/bin/selfmonng.plx

     1.4 /var/webadmin/index.plx

     1.4 /var/webadmin/index.plx

     1.2 /sbin/openvpn --config /etc/openvpn/openvpn.conf --writepid /var/run/openvpn.pid

     1.2 bash



    asg220_silk:/home/login # ps ax -o rss,cmd |sort -n -r|head

    122856 /sbin/snort_inline -Q -D -c /etc/snort/snort.conf -R 1 -K none -P 65535 -g 800 -u 800 --daq nfq --daq-var queue=0 --daq-var queue_len=1024 --daq-var verdictcache_len=10 --daq-var verdictcache_timeout=1000 --daq-var proto=ip*

    121532 /usr/bin/cssd -d

    61276 /var/mdw/mdw.plx

    56184 /var/webadmin/index.plx

    53764 /var/webadmin/index.plx

    53672 /var/webadmin/index.plx

    45552 /usr/sbin/acc-agent.plx --verbose=3 --daemon

    34408 confd [worker[:P]rpc:webadmin]

    31788 confd [worker[:P]rpc:webadmin]

    31776 confd [worker[:P]rpc:system]
  • 0
    I'm a little bit confused: In your original post you mentioned an ASG 120 and in the output we see a command prompt saying it's an ASG 220? Which information is the correct one?

    Cheers,
    Kai
  • 0
    Dont be confused :-)

    I started out for my home setup buying a rev1 ASG220 from ebay..
    The WAF ( Wife acceptency Factor ) on a ASG220 is not high because of the FAN noise - so when the Atom based ASG120 was released I replaced the 220 with that and the configuration and hostname lived on. I havent changed the "name" since it is not important..

    I should mention that the ASG120 is loaded with a "Home" software version since there is no home version for a hardware appliance. I am just using the hardware appliance because I consider it more stabile than building your own small form factor computer.

    Hope that clears things up, short story is I am running ASG220's with full hardware license at work and running the ASG120 at home to test stuff before I deploy in the corperate network.
  • 0
    Ah, okay, now it makes sense. Thanks for the clarification!

    Back to your problem: Chances are that your box ran out of RAM and started swapping. If so, it might be necessary to stop snort for a while, and see if the load drops again. Nevertheless, i'm curious if there are any error messages in the Confd logfiles. Mind to take a look at them?

    Cheers,
    Kai
  • 0
    I dont mind sending you the confd logs if you want them.. or grant you access to the box ( nothing secret there )

    However, I dont think its a memory issue. The little ASG was swapping hard before I upgraded to beta so I installed more memory in it before the upgrade ( yes I know I voided warranty - but I did that anyway when I installed the software version ).

    The box ran fine with little cpu and around 40% memory ( of 2GB ) before the webproxy was disabled / enabled.

    Snort = webproxy ?
  • 0
    No, snort != webproxy. Snort is the thing behind IPS. Some of the smaller boxes start getting in trouble (ie swapping) if you run IPS and a lot of other services. Since this is not the case with your box, we can forget about this idea.

    Just take a look at the logs around the time when you experienced the increase of the load and see if there are any error messges logged. You'll easily recognize them when you see them.
Unfiltered HTML