Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 3 subscribers
  • Views 8268 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Snort consumes 90% of CPU

babudheen
Hi all,

  we are experiencing high CPU usage on one of Astaro firewall where IPS functionality is enabled.  Snort almost consumes 98% of the CPU. During such time, we could see only one snort instance used to run and could not find name of the signature which causing high CPU usage.  To solve this problem, we had to reboot the Astaro device. Would like to know why snort uses more CPU usage or in which situation snort can consume more CPU usage

  Is there any way to find out which signature consumes more CPU in snort during high CPU usage time?

   Due to this high CPU usage, we are not enabling IPS funtionality in all our Astaro firewalls. So your update on this will help us to isolate or optimize our IPS rules.


Regards
Papdheen


This thread was automatically locked due to age.
  • 0
    Hi, you could look at the IPS log to see if there was a rule triggering, but otherwise my guess is that your traffic is very high, causing snort to use more CPU.

    Consider disabling IPS rule groups for services you don't use.

    Barry
  • 0
    Hi all,

      we are experiencing high CPU usage on one of Astaro firewall where IPS functionality is enabled.  Snort almost consumes 98% of the CPU. During such time, we could see only one snort instance used to run and could not find name of the signature which causing high CPU usage.  To solve this problem, we had to reboot the Astaro device. Would like to know why snort uses more CPU usage or in which situation snort can consume more CPU usage

      Is there any way to find out which signature consumes more CPU in snort during high CPU usage time?

       Due to this high CPU usage, we are not enabling IPS funtionality in all our Astaro firewalls. So your update on this will help us to isolate or optimize our IPS rules.


    Regards
    Papdheen

    what model astaro device?  how many users?  which features are you using and how much traffic is the ASg having to handle.
  • 0
    Make sure you don't have a public-facing interface in 'Local networks' on the 'Global' tab.

    Cheers - Bob