Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 3 subscribers
  • Views 987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Nacctd

ugooder
Why does Nacctd get waaay too big and then email em 200 times telling me so?  I kill it and it grows again.  This is a very serious problem we saw with 1.7XX and now with 2.00.  Is there a way to disable this?

Thanks,
Evan


This thread was automatically locked due to age.
  • 0
    Hi Evan,

    first: this should not happen!

    But we need some more infos about the circumstances while the nacctd is inflating:

    Which is the biggest nacctd size you can observe?
    Is there very high traffic load? 
    Do you use VPN/PPTP? 
    When did you receive the notification emails?
    Did you install up2date 2.010?
  • 0 in reply to Markus Hennig
    I'm posting output of ps and I hope it comes out well formatted here...

    but first:

    Which is the biggest nacctd size you can observe?
    92%

    Is there very high traffic load? 
    No, there are two separate boxen, and neither is gettign pounded (one before a group of live servers andanother before a small office)

    Do you use VPN/PPTP? 
    Yes, both are enabled although PPTP is rarely used.  We're running a two-way IPSEC VPN between an office and our remote servers.

    When did you receive the notification emails?
    I recieve them constantly, it seemed that things worked well before the VPN was installed.  Now I kill nacctd, and it gets respawned and grows waaay too fast.

    up2date 2.010 is not installed, the box is a Pentium 500 w/256 MB ram (the other is a celeron 466 w/256 MB).

    example output of ps on one box:

    USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
    root         1  0.0  0.0   260   56 ?        S    Oct02   0:00 init [2]
    root         2  0.0  0.0     0    0 ?        SW   Oct02   0:00 [keventd]
    root         3  0.0  0.0     0    0 ?        RWN  Oct02   0:04 [ksoftirqd_CPU0]
    root         4  0.0  0.0     0    0 ?        SW   Oct02   0:02 [kswapd]
    root         5  0.0  0.0     0    0 ?        SW   Oct02   0:00 [kreclaimd]
    root         6  0.0  0.0     0    0 ?        SW   Oct02   0:00 [bdflush]
    root         7  0.0  0.0     0    0 ?        SW   Oct02   0:00 [kupdated]
    root       211  0.0  0.3  2136  400 ?        S    Oct02   0:03 /sbin/sshd -4 -f /etc/sshd_config
    root       225  0.0  0.1  1204  212 ?        S    Oct02   0:11 /usr/sbin/syslogd -m 60 -r -a /dev/log -
    root       226  0.0  0.1  1212  176 ?        S    Oct02   0:03 /usr/sbin/klogd -k /System.map -c 1
    root       236  0.0  0.1  2632  216 ?        S    Oct02   0:00 /usr/bin/perl -w /usr/sbin/psd-watch.pl
    root       309  0.0  0.0  1200  124 ?        S    Oct02   0:00 /usr/sbin/cron
    root       323  0.0  0.8  9708 1112 ?        S    Oct02   3:12 ./mdw_deamon.pl
    root       327  0.0  0.0  5960    4 ?        S    Oct02   0:00 ./aua.bin /etc/wfe/conf/aua_main_config.
    root       556  0.0  0.1  1128  224 ?        S    Oct02   0:00 /usr/local/bin/daemon-watcher superdaemo
    root       560  0.2  0.9  4752 1204 ?        S    Oct02   9:02 /usr/local/bin/superdaemon.pl
    root       934  0.0  0.0  3024   56 ?        S    Oct02   0:00 /usr/sbin/httpd -f /etc/httpd/httpd.conf
    wwwrun     951  0.0  0.0  3224    4 ?        S    Oct02   0:03 /usr/sbin/httpd -f /etc/httpd/httpd.conf
    wwwrun    2610  0.0  0.0  3236    4 ?        S    Oct02   0:03 /usr/sbin/httpd -f /etc/httpd/httpd.conf
    root     11894  0.0  0.0  1112    4 tty2     S    Oct02   0:00 /sbin/mingetty --no-hostname tty2
    root     11895  0.0  0.0  1112    4 tty1     S    Oct02   0:00 /sbin/mingetty --no-hostname tty1
    root     11932  0.0  0.4  4108  588 ?        S    Oct02   0:05 /bin/snmpd -f
    root     30113  0.0  0.4  2380  588 ?        S    15:31   0:00 /usr/sbin/named
    #507     30141  0.0  0.1  1160  148 ?        S    15:31   0:00 qmail-send
    root     30142  0.0  0.0  1112    4 ?        S    15:31   0:00 /bin/supervise /var/lock/qmail-smtpd /us
    #503     30143  0.0  0.0  1104    4 ?        S    15:31   0:00 /bin/accustamp
    #502     30144  0.0  0.0  1192    4 ?        S    15:31   0:00 /usr/local/bin/tcpserver -H -v -x/etc/tc
    #503     30145  0.0  0.0  1120    4 ?        S    15:31   0:00 /bin/cyclog -s5000000 -n5 /var/log/qmail
    #503     30149  0.0  0.1  1132  200 ?        S    15:31   0:00 /usr/local/bin/splogger qmail
    root     30150  0.0  0.0  1124    4 ?        S    15:31   0:00 qmail-lspawn ./Mailbox
    #506     30151  0.0  0.0  1124  112 ?        S    15:31   0:00 qmail-rspawn
    #505     30152  0.0  0.0  1116   40 ?        S    15:31   0:00 qmail-clean
    root     30312  0.0  0.4  1660  520 ?        S    15:31   0:00 /usr/local/lib/ipsec/pluto --debug-none
    root     30475  0.0  0.0  1408    4 ?        S    15:31   0:00 /usr/local/sbin/pptpd
    root     30568  0.0  0.0     0    0 ?        Z    15:31   0:00 [iptables ]
    root     31766 70.4 14.2 18716 18092 ?       R    15:38  87:30 /usr/local/bin/nacctd
    root     18165  0.3  0.7  2212  976 ?        S    17:42   0:00 /sbin/sshd -4 -f /etc/sshd_config
    loginuse 18173  0.2  0.8  2012 1128 pts/0    S    17:42   0:00 -bash
    loginuse 18205  0.0  0.5  2324  700 pts/0    R    17:42   0:00 ps -aux
  • 0 in reply to ugooder
    BTW, a small thing - in the email subject of the notifications sent out, it should say "Too much memory for a single process" not "To much memory for a single process."
Unfiltered HTML