Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 9 replies
  • Subscribers 4 subscribers
  • Views 9654 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 220 um 07:00 und 19:00 jeden tag auf 100% CPU

eastfrisian

hallo zusammen!

ich versuche nun schon seit einigen Wochen ein Problem mit unserer UTM9 zu lösen. auch unser Dienstleister / retailer kommt hier leider nicht weiter.

wir haben das Problem, dass die utm jeden tag (das ist in den berichten nachvollziehbar) um 07:00 und 19:00 auf 100% cpu-last geht. die ram-nutzung jedoch bleibt konstant im normalen Bereich. während die cpu-last nach oben schnellt sind sowohl die utm als auch die von ihr verwalteten netze völlig lahmgelegt. die gesamte netzperformance bricht zusammen. und zwar vollständig. nach 5-10 Minuten normalisiert sich dann das ganze wieder und alles läuft als wäre nichts gewesen.

ich habe auch schon versucht direkt zur zeit des cpu-Peaks in den aktiven Prozessen zu schauen, welcher dienst dafür verantwortlich ist. aber laut anderen foreneinträgen kann es hier zu zeitverzögerter Darstellung kommen. sobald die Auslastung steigt, fliege ich mit ach und krach aus dem webinterface.

da es sich jedoch jeden tag um exakt die selben Uhrzeiten handelt (die Uhrzeiten an denen die Peaks kommen sind nicht in der zeitraumdefinition hinterlegt), muss hier irgendetwas passieren. weder wlan, hotspot noch andere dienste sind auf diese Uhrzeiten eingestellt. und was das gerät von sich aus macht (z.b. berichtserstellung, Prüfung auf updates, etc.) kann ich im webinterface leider nicht steuern bzw. nachvollziehen.

hat jemand hier eine Idee, was das sein könnte? das ganze ist wirklich extrem ärgerlich.

falls genauere Informationen, systemprotokolle oder andere dinge benötigt werden, kann ich diese gerne hier hochladen. dann eben bitte nur eine info, was genau benötigt wird.

grüße und vielen dank im voraus



This thread was automatically locked due to age.
  • 0

    Hast du mal nachgeschaut wie der Intervall von den Updates und pattern Suche eingestellt ist? Wenn da irgendwo 2x täglich eingestellt ist , hast du vielleicht den schuldigen. Oder verändere mal die Intervalle, dann müsste sich auch deine Auslastung ändern,mehr oder weniger wenn es daran liegt.

  • 0

    Mit top auf der Shell kannst Du Dir auch sehr gut anschauen, womit das System zu dem Zeitpunkt beschäftigt ist. Dazu musst Du allerdings den Shellzugriff in den Systemeinstellungen aktivieren. Anschließen schaltest Du Dich mit einem SSH-Client auf die Sophos.

  • 0 in reply to BigGuybrush

    das ist zur zeit auf täglich eingestellt. mehr Infos habe ich da nicht, alternativ ginge 12 stunden, 6 stunden, alle 2 tage, etc. habs jetzt mal auf wöchentlich gestellt, um einen vergleich anstellen zu können.

    was mir jedoch auffällt, ist das die protokollpartition noch immer zu 40% belegt ist (also etwa zu 50gb voll), obwohl ich die protokolleinstellung auf "nach 7 tagen löschen" eingestellt habe. er hat auch heute nacht einige Protokolle gelöscht, allerdings waren das nur knapp 90mb. was liegt denn da alles auf der Partition, wenn es keine Protokolle sind?!

  • 0 in reply to ThorstenSult

    das hatte ich wie gesagt schon direkt übers webinterface probiert, da jedoch ohne erfolg (bin rausgeflogen als die last anstieg). werde das heute abend nochmal per ssh Client versuchen.

  • 0 in reply to eastfrisian

    scheinbar könnten die updates was damit zu tun haben. bisher standen sie auf täglich, seit ich sie auf wöchentlich gestellt habe, verhält sich die astaro ruhiger. sowohl gestern abend als auch heute morgen keine Auffälligkeiten bei der cpu-last. bin gespannt, ob das so bleibt.

  • 0 in reply to eastfrisian

    so, nachdem die kiste nun einige tage mit den neuen Einstellungen läuft, kann man das wohl wirklich der update-suche zuschreiben. sobald diese auf täglich steht, geht das System täglich um 07:00 und 19:00 auf 100% cpu-last und nichts geht mehr (es werden jedoch updates gefunden und geladen, es ist nicht so, dass die kiste da auf einen fehler rennt und nicht weiterkommt). warum das so ist... keine Ahnung. werde das ganze jetzt mal auf "wöchentlich" beobachten.

    würde das zwar gern Sophos mitteilen, aber da die jungs mir bereits bei der anfrage sehr deutlich zu verstehen gegeben haben, dass ich doch bitte mit meiner kleinen fullguard Lizenz, ohne premium Support davon absehen sollte, den Support zu kiontaktieren, werde ich das einfach lassen.

  • 0 in reply to eastfrisian

    Die "Pattern" Updates würde ich jetzt aber nicht auf wöchentlich lassen, da du sonst eventuell eine Woche keinen neuen Schutz hast.(Antivirus, IPS, Dokumentation)

  • 0

    Hallo eastfrisian,


    das ist ein altes Problem bei der ASG 220, wenn sie entsprechend ausgelastet ist.

    Hier ist ein alter Thread, in dem auch ein paar Tipps beschrieben sind, wie man das

    Problem ein wenig abmildert. Grundsätzlich ist der mangende Arbeitsspecher die Krux.

    Gruß

  • 0 in reply to BigGuybrush

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    The problem is usually cssd updating virus patterns.  At several clients that have a UTM 120 or UTM 220, I've added a line like the following to /etc/crontab-static to do the pattern updates early in the morning and during lunch hour.  After doing that, I set the 'Pattern Download/Installation Interval' to "Manual" and that loads the new settings into crontab:

    0 5,12 * * 0,1,2,3,4,5,6 root /sbin/audld.plx --nosys --trigger

    After reading this thread, it occurred to me that someone might want to run that more often.  The updating can take as long as 30 minutes, so that's only practical if you disable another resource hog.  An example for disabling Intrusion Prevention during pattern updating every hour would use the following lines in crontab-static (toggle the 'Pattern Download/Installation Interval' from and back to "Manual" afterwards so that your changes are also made in crontab):

    0 * * * 0,1,2,3,4,5,6 root /sbin/audld.plx --nosys --trigger
    0 * * * 0,1,2,3,4,5,6 root /usr/local/bin/confd-client.plx set ips status 0
    30 * * * 0,1,2,3,4,5,6 root /usr/local/bin/confd-client.plx set ips status 1

    Of course, the right answer is to upgrade immediately to an SG 230! [:)]

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner