Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 1346 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange traffic numbers in executive report

DiePlage
Hello everyone!

Recently one of our ASG110 devices started to become unstable.
I found out that the storage-partition was filling up during nighttime. If the partition fills up completely, the system will eventually hang. In most cases the filling stops in the morning hours when there is still space left. This does not happen everyday but it does occur on weekdays as well as on weekends (when there is no one in the office).

According to the executive-reports a total of 4-8GBs of traffic has been handled by the firewall. Consistently the cpu and traffic graphs show constantly increased values for several hours and the partition usage graph shows very constantly decreasing free space.
So far I have been unable to find the source of the traffic.
While the ER lists a total of 4-8GB handled traffic, the top 10 server section is listing servers with a total of around 200mb on a working day and 30mb on the weekend which would be normal.
What is even more strange is that according to the ER the top-10 client generate a total traffic of less than 70mb.

I don't know how to find out where this traffic comes from.

Which logfiles could help here?
I need to know whether this might be a proxy malfunction or a security breech.

Should I call Astaro support?

Thanks for any help!

BTW I double posted this over in the Logging-board


This thread was automatically locked due to age.
  • 0
    Ensure that you do not have a DNS loop happening.

    I've made mistake a few times where Internal DNS looks at Astaro and Astaro looks at internal DNS for lookups, you can get nasty traffic generating loops happening.
  • 0 in reply to Simon Shaw
    DNS is not the problem. I only use the forwarders assigned by ISP.
    Still, right now I have constant inbound traffic around 1Mbit (started 20:00 yesterday).
    I think it's a bit poor that astaro can't tell me which IP consumes all this traffic...
  • 0 in reply to DiePlage
    If the storage partition is filling up, you must be using the HTTP Proxy... I'd turn on access logging, and check those logs...  could be software (Windoze), etc. auto-updating at night.
  • 0
    Which version do you use ?
    Having similar problems with a 6.304 ASGS.
    Found a 37GB Squid log (whole size of storage partition), which was created within 1 day.
    Was not shown in \Local Logs \Browse \HTTP Proxy because firewall crashed around midnight while trying to process this one huge file.
    I found some error messages (will try to post them tomorrow) and cleared the HTTP cache. By now it seems to work.
  • 0 in reply to KKnecht
    Seems that clearing the proxy cache solved it in this case.
    Still having some warnings in the log but no exploding log files.


    HTTP proxy
    2007:06:10-07:11:58 (none) squid[11997]: Preparing for shutdown after 0 requests
    2007:06:10-07:11:58 (none) squid[11997]: Waiting 30 seconds for active connections to finish
    2007:06:10-07:11:58 (none) squid[11997]: FD 16 Closing HTTP connection
    2007:06:10-07:12:01 (none) squid[11995]: Squid Parent: child process 11997 exited due to signal 9
    2007:06:10-07:12:03 (none) squid[10750]: WARNING: Very large maximum_object_size_in_memory settings can have negative impact on performance
    2007:06:10-07:12:03 (none) squid[10751]: Squid Parent: child process 10753 started
    2007:06:10-07:12:03 (none) squid[10753]: WARNING: Very large maximum_object_size_in_memory settings can have negative impact on performance
    2007:06:10-07:12:03 (none) squid[10753]: Starting Squid Cache version 2.5.STABLE14 for i686-pc-linux-gnu...
    2007:06:10-07:12:03 (none) squid[10753]: Process ID 10753
    2007:06:10-07:12:03 (none) squid[10753]: With 32768 file descriptors available
    2007:06:10-07:12:03 (none) squid[10753]: DNS Socket created at 127.0.0.1, port 33916, FD 5
    2007:06:10-07:12:03 (none) squid[10753]: Adding nameserver 127.0.0.1 from /etc/resolv.conf
    2007:06:10-07:12:03 (none) squid[10753]: helperOpenServers: Starting 5 'dummy_auth' processes
    2007:06:10-07:12:03 (none) squid[10753]: Unlinkd pipe opened on FD 15
    2007:06:10-07:12:03 (none) squid[10753]: Swap maxSize 14608384 KB, estimated 1123721 objects
    2007:06:10-07:12:03 (none) squid[10753]: Target number of buckets: 56186
    2007:06:10-07:12:03 (none) squid[10753]: Using 65536 Store buckets
    2007:06:10-07:12:03 (none) squid[10753]: Max Mem size: 103553 KB
    2007:06:10-07:12:03 (none) squid[10753]: Max Swap size: 14608384 KB
    2007:06:10-07:12:03 (none) squid[10753]: createRemovalPolicy_heap: Unknown key type "lfuda". Using LRU
    2007:06:10-07:12:03 (none) squid[10753]: Store logging disabled
    2007:06:10-07:12:03 (none) squid[10753]: Rebuilding storage in /cache (DIRTY)
    2007:06:10-07:12:03 (none) squid[10753]: Using Least Load store dir selection
    2007:06:10-07:12:03 (none) squid[10753]: Set Current Directory to /cache
    2007:06:10-07:12:03 (none) squid[10753]: Loaded Icons.
    2007:06:10-07:12:03 (none) squid[10753]: Accepting HTTP connections at 0.0.0.0, port 16497, FD 16.
    2007:06:10-07:12:03 (none) squid[10753]: WCCP Disabled.
    2007:06:10-07:12:03 (none) squid[10753]: Ready to serve requests.
    2007:06:10-07:12:03 (none) squid[10753]: Done reading /cache swaplog (870 entries)
    2007:06:10-07:12:03 (none) squid[10753]: Finished rebuilding storage from disk.
    2007:06:10-07:12:03 (none) squid[10753]: 868 Entries scanned
    2007:06:10-07:12:03 (none) squid[10753]: 0 Invalid entries.
    2007:06:10-07:12:03 (none) squid[10753]: 0 With invalid flags.
    2007:06:10-07:12:03 (none) squid[10753]: 868 Objects loaded.
    2007:06:10-07:12:03 (none) squid[10753]: 0 Objects expired.
    2007:06:10-07:12:03 (none) squid[10753]: 0 Objects cancelled.
    2007:06:10-07:12:03 (none) squid[10753]: 2 Duplicate URLs purged.
    2007:06:10-07:12:03 (none) squid[10753]: 0 Swapfile clashes avoided.
    2007:06:10-07:12:03 (none) squid[10753]: Took 0.3 seconds (3023.9 objects/sec).
    2007:06:10-07:12:03 (none) squid[10753]: Beginning Validation Procedure
    2007:06:10-07:12:03 (none) squid[10753]: Completed Validation Procedure
    2007:06:10-07:12:03 (none) squid[10753]: Validated 866 Entries
    2007:06:10-07:12:03 (none) squid[10753]: store_swap_size = 8404k
    2007:06:10-07:12:04 (none) squid[10753]: storeLateRelease: released 0 objects
    2007:06:10-07:12:07 (none) squid[10753]: Preparing for shutdown after 0 requests
    2007:06:10-07:12:07 (none) squid[10753]: Waiting 30 seconds for active connections to finish
    2007:06:10-07:12:07 (none) squid[10753]: FD 16 Closing HTTP connection
    2007:06:10-07:12:11 (none) squid[10751]: Squid Parent: child process 10753 exited due to signal 9
    2007:06:10-07:12:12 (none) squid[11065]: WARNING: Very large maximum_object_size_in_memory settings can have negative impact on performance
    2007:06:10-07:12:12 (none) squid[11066]: Squid Parent: child process 11068 started
    2007:06:10-07:12:12 (none) squid[11068]: WARNING: Very large maximum_object_size_in_memory settings can have negative impact on performance
    2007:06:10-07:12:12 (none) squid[11068]: Starting Squid Cache version 2.5.STABLE14 for i686-pc-linux-gnu...
    2007:06:10-07:12:12 (none) squid[11068]: Process ID 11068
    2007:06:10-07:12:12 (none) squid[11068]: With 32768 file descriptors available
    2007:06:10-07:12:12 (none) squid[11068]: DNS Socket created at 127.0.0.1, port 33919, FD 5
    2007:06:10-07:12:12 (none) squid[11068]: Adding nameserver 127.0.0.1 from /etc/resolv.conf
    2007:06:10-07:12:12 (none) squid[11068]: helperOpenServers: Starting 5 'dummy_auth' processes
    2007:06:10-07:12:12 (none) squid[11068]: Unlinkd pipe opened on FD 15
    2007:06:10-07:12:12 (none) squid[11068]: Swap maxSize 14608384 KB, estimated 1123721 objects
    2007:06:10-07:12:12 (none) squid[11068]: Target number of buckets: 56186
    2007:06:10-07:12:12 (none) squid[11068]: Using 65536 Store buckets
    2007:06:10-07:12:12 (none) squid[11068]: Max Mem size: 103553 KB
    2007:06:10-07:12:12 (none) squid[11068]: Max Swap size: 14608384 KB
    2007:06:10-07:12:12 (none) squid[11068]: createRemovalPolicy_heap: Unknown key type "lfuda". Using LRU
    2007:06:10-07:12:12 (none) squid[11068]: Store logging disabled
    2007:06:10-07:12:12 (none) squid[11068]: Rebuilding storage in /cache (DIRTY)
    2007:06:10-07:12:12 (none) squid[11068]: Using Least Load store dir selection
    2007:06:10-07:12:12 (none) squid[11068]: Set Current Directory to /cache
    2007:06:10-07:12:12 (none) squid[11068]: Loaded Icons.
    2007:06:10-07:12:12 (none) squid[11068]: Accepting HTTP connections at 0.0.0.0, port 16497, FD 16.
    2007:06:10-07:12:12 (none) squid[11068]: WCCP Disabled.
    2007:06:10-07:12:12 (none) squid[11068]: Ready to serve requests.
    2007:06:10-07:12:12 (none) squid[11068]: Done reading /cache swaplog (870 entries)
    2007:06:10-07:12:12 (none) squid[11068]: Finished rebuilding storage from disk.
    2007:06:10-07:12:12 (none) squid[11068]: 868 Entries scanned
    2007:06:10-07:12:12 (none) squid[11068]: 0 Invalid entries.
    2007:06:10-07:12:12 (none) squid[11068]: 0 With invalid flags.
    2007:06:10-07:12:12 (none) squid[11068]: 868 Objects loaded.
    2007:06:10-07:12:12 (none) squid[11068]: 0 Objects expired.
    2007:06:10-07:12:12 (none) squid[11068]: 0 Objects cancelled.
    2007:06:10-07:12:12 (none) squid[11068]: 2 Duplicate URLs purged.
    2007:06:10-07:12:12 (none) squid[11068]: 0 Swapfile clashes avoided.
    2007:06:10-07:12:12 (none) squid[11068]: Took 0.3 seconds (3068.5 objects/sec).
    2007:06:10-07:12:12 (none) squid[11068]: Beginning Validation Procedure
    2007:06:10-07:12:12 (none) squid[11068]: Completed Validation Procedure
    2007:06:10-07:12:12 (none) squid[11068]: Validated 866 Entries
    2007:06:10-07:12:12 (none) squid[11068]: store_swap_size = 8404k
    2007:06:10-07:12:14 (none) squid[11068]: storeLateRelease: released 0 objects
  • 0
    I am using the latest ASL 7.004 with all updates installed.
    Next time I notice this traffic I will have a look at the filesystem and see where all my hdd-space goes.

    @Brucek: What do you mean by "access logging", how do I turn that on?

    Thanks, DiePlage
  • 0 in reply to DiePlage
    I think I've located the evil process.
    I have several files from 700MB to 1GB located in /var/storage/chroot-http/tmp/ named downloadX???.
    At the same time httpproxy is using up to 100% CPU.
    How do I find out what the httpproxy is caching?

    Thanks for any help!