Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 21 replies
  • Subscribers 0 subscribers
  • Views 10388 views
  • Users 0 members are here
Options
Suggested

[9.171][BUG] poor performance due to 'ondemand' CPU scaling governor

BarryG
Hi, I did some testing on my new i5 system, and found that the default CPU scaling governor,  'ondemand', results in a loss of about 60% in IPS throughput vs the 'performance' governor, with no significant power consumption difference.

The Linux kernel devs recommend using 'performance' for all Ivy Bridge, Sandy Bridge, and Haswell generation CPUs until the kernel is upgraded to a newer version (3.10+):
https://plus.google.com/+TheodoreTso/posts/2vEekAsG2QT

Please change the default, or make it easier for the user to do so, or upgrade to a 3.10 or newer kernel, which replaces the old governor system.

Thank you,
Barry
  • 0 in reply to simby
    In one UTM running 9.171 the command returns  with either snort or suricata as a parameter. Snort is still running.

    Ian
  • 0 in reply to trollvottel
    There is unofficial suricata in v9.200. For a trial run you can enable it under the hood via cc >> ips >> engine=suricata.


    Very cool... I figured a change was coming given the recent acquisition of SourceFire... or maybe it's for performance increases (maybe both)?

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    i'd guess both..since cisco now owns sourcefire cisco i doubt is going to leave snort open source..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi,

    I'm glad to hear Suricata is getting testing in the UTM.

    However, as far as the CPU governor goes, I suspect that with a single network stream, Suricata would suffer from the same cpu frequency scaling problem as I reported.

    Barry
  • 0 in reply to BarryG
    Hi,

    I'm glad to hear Suricata is getting testing in the UTM.

    However, as far as the CPU governor goes, I suspect that with a single network stream, Suricata would suffer from the same cpu frequency scaling problem as I reported.

    Barry


    not necessarily..if it is a truly MT system then it would be able to properly utilize more than one care..even without bumping the clock speed it would effectively gain about 35-80% performance just due to using more than one core per stream.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    We are planning to release a fix for this issue in Version 9.200.
  • 0 in reply to apijnappels
    I just tested with engine=suricata, but put it back to engine=snort.
    After a couple of minutes I wasn't able to browse any website anymore. Upon switching back to snort, I immediately could open all websites again.


    Hi,

    Tries it today and got the same result. Is there something else im not doing right? Somethings that needs to be restarted as well?

    Regards
    Frank
  • 0


    Hi,

    Tries it today and got the same result. Is there something else im not doing right? Somethings that needs to be restarted as well?

    Regards
    Frank


    Maybe you manually have to trigger up2date? Didn't test the suricata up to now, as it's unsupported at the moment and may suffer from different issues. Will switch sometimes too for testing, if I have some spare time ;o)

    Sorry for short answers and typos. was written on mobile using astaro.org app.
  • 0 in reply to Sascha Paris
    Maybe you manually have to trigger up2date? 

    In what way are they connected? Or do you mean by the rulebase?
    If so I think that suricata and snort share the same rulebase. I could be wrong of course...


    Didn't test the suricata up to now, as it's unsupported at the moment and may suffer from different issues. Will switch sometimes too for testing, if I have some spare time ;o)

    Sorry for short answers and typos. was written on mobile using astaro.org app.


    Well I must agree, Not being able to surf is an issue [:P]
    If you find the time and figure out what the issue was let me know! [:)]

    I just thought what a hell why not test suricata now when the 9.2 have gone to version 9.200.
    But for now I will wait until 9.201 i guess.

    For the looks of their webpage (suricata), they have CUDA support now. 
    I don't have an Nvidia card in the machine right now, but it would be hell of a fun to try! [:D]
    Does anyone know that version is the minimum GPU supported?
  • 0

    In what way are they connected? Or do you mean by the rulebase?
    If so I think that suricata and snort share the same rulebase. I could be wrong of course...

    Well I must agree, Not being able to surf is an issue [:P]
    If you find the time and figure out what the issue was let me know! [:)]

    I just thought what a hell why not test suricata now when the 9.2 have gone to version 9.200.
    But for now I will wait until 9.201 i guess.

    For the looks of their webpage (suricata), they have CUDA support now.
    I don't have an Nvidia card in the machine right now, but it would be hell of a fun to try! [:D]
    Does anyone know that version is the minimum GPU supported?


    First you have to have the cuda drivers compiled inti the kernel.  Given the fact that nvidias drivers arent open source abd requure a recompile of tge kernel I dont see utm supporting cuda anytime soon.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Unfiltered HTML