[WAR 101] System load to high - please check(6)

Hi!

You will have to tell some more details about your FW!
What computer you are using for FW? How many computers you have behind your FW? When does this happen?

I had similar problem with low range HW and it happened that my system load was going to 100% at midnight when logs were generated. So to say big logs generated high system load and big logs were couse of much broadcast on inner side of network!

Bye, Matjaz  

I use a PIII 733Mhz, 512 Mb RAM and 60Gb HD
So I don;t think that this is the problem.

The jump to 100% happened exactly at 12.00. Coinsidence?
Yesterday it lasted 6 hours

I have around 100 users, 1 Mailserver and 1 webserver, No VPN and about 100 rules. For the moment only extern and intern network.

Daniel 

If this could help... I included some of the processes listed.
It looks like SPAM (SQUID) has something to do with it.

I have all SMTP SPAM protection on except RBL. POP3 proxy is off due to too mucg problems.

squid     7273 30.1 18.2 103800 94008 ?      R    12:01  66:02  \_ /usr/bin/perl /usr/local/bin/spamd -d -u exim --noadd-from --loca
squid      339 21.8  9.9 57680 51156 ?       R    13:40  26:12  \_ /usr/bin/perl /usr/local/bin/spamd -d -u exim --noadd-from --loca
squid     9346 20.2 10.1 57680 52480 ?       R    14:16  17:03  \_ /usr/bin/perl /usr/local/bin/spamd -d -u exim --noadd-from --loca
squid    24707 16.1 18.6 103800 96304 ?      R    15:17   3:40  \_ /usr/bin/perl /usr/local/bin/spamd -d -u exim --noadd-from --loca
squid    27514  0.0  0.2  3852 1212 ?        S    11:20   0:00 /bin/exim -bd -q20m
squid    27168  0.0  0.3  4100 1592 ?        S    15:27   0:00  \_ /bin/exim -bd -q20m
squid    27481  0.1  0.3  4100 1592 ?        S    15:28   0:01  \_ /bin/exim -bd -q20m
root     27537  0.0  0.1  3744  912 ?        S    11:20   0:00 /bin/squidf -sYD
squid    27543  0.8  4.8 26740 24956 ?       S    11:20   2:13  \_ (squid) -sYD
squid    27544  0.0  0.0  1340  324 ?        S    11:20   0:00      \_ (unlinkd)
nobody   27539  0.0  0.0  1412  500 ?        S    11:20   0:00 /bin/dhttpd -p 8081
squid    27542  0.0  0.2  4828 1048 ?        S    11:20   0:00 /bin/urlfilter -f -d
root     27187 11.9  0.7  5816 4096 ?        R    15:27   1:33 ./kavdaemon -MP -MD -WS -dp -V -Z -Y -E -f=/tmp /
root     27516 11.5  0.7  6068 3944 ?        R    15:28   1:20 ./kavdaemon -MP -MD -WS -dp -V -Z -Y -E -f=/tmp /
 

In any case, If I switch my SMTP proxy off my system load drops to almost zero.
If I switch it on again, it stays there

squid    27543  0.8  4.8 26932 25152 ?       S    11:20   2:18  \_ (squid) -sYD
squid    27544  0.0  0.0  1340  324 ?        S    11:20   0:00      \_ (unlinkd)
nobody   27539  0.0  0.0  1412  500 ?        S    11:20   0:00 /bin/dhttpd -p 8081
squid    27542  0.0  0.2  4828 1048 ?        S    11:20   0:00 /bin/urlfilter -f -d
squid     2715  0.6  2.1 11992 10940 ?       S    15:49   0:00 /usr/bin/perl /usr/local/bin/spamd -d -u exim --noadd-from --local
squid     2717  0.0  0.2  3852 1352 ?        S    15:49   0:00 /bin/exim -bd -q20m
squid     3922  3.3  0.3  4060 1896 ?        S    15:51   0:00  \_ /bin/exim -bd -q20m
root      2727  0.0  0.1  2164  920 ?        S    15:49   0:00 /bin/bash /etc/rc.d/av-scanner start
root      2730  0.0  0.0  1728  456 ?        S    15:49   0:00  \_ /bin/avsocketmultiplexer /var/chroot-smtp/tmp/AvpCtl /var/chroot-
root      2728  0.0  0.1  2164  920 ?        S    15:49   0:00 /bin/bash /etc/rc.d/av-scanner start
root      2731  0.0  0.0  1728  452 ?        S    15:49   0:00  \_ /bin/avsocketmultiplexer /var/chroot-pop3/var/run/AvpCtl /var/chr
root      2748  0.0  1.0  5772 5472 ?        S    15:49   0:00 ./kavdaemon -MP -MD -WS -dp -V -Z -Y -E -f=/tmp /

 

It's definitly the kav daemon and/or the SPAM daemon that causes the problems!!!

So, I'll move the subject to the other forum!
 

What you are experiencing is the effects of the log files being processed.  It is normal for you to have a higher usage during this time.  What you might want to do is take a look at your logging options for the proxies and other areas and if you do not need full logs for security / billing reasons then you can try decreasing the log levels to lessen the load on your firewall.  Also, when was the last time you rebooted?

NotoriousIROC  

What you are experiencing is the effects of the log files being processed.  It is normal for you to have a higher usage during this time.  What you might want to do is take a look at your logging options for the proxies and other areas and if you do not need full logs for security / billing reasons then you can try decreasing the log levels to lessen the load on your firewall.  Also, when was the last time you rebooted?

NotoriousIROC  

How do you change the levels of logging?  I am having to reboot my firewall every 12 hours and would like modify the log levels to prevent this from happening

I am running asl 4.0 and have smtp proxy with anti-spam turned on

Thanks   

I went through the manual and the only place I could find that you can change the logging parameters is for the http proxy. If you can change if for the SMTP please let me know. My server load is at 100 all the time. If I stop the SMTP filter than start it again the load drops. Please advise. 

I'm getting the same thing with the spamd.
Except mine triggered off at about 6:50AM.
Help.  It was 18% average before, now its pegged. 

there are related issues which will be fixed in the next up2date coming soon.
(spamd and pop3)

read you
o|iver  

i had the same problem with smtp proxy so i disabled spamdetection for the time beeing. when is the next update available.