Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 836 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

CPU to 100%

eden
My ASL was using  1%  from CPU forever, two dyas ago  is using 100%. My Box is a Xeon 2.0 GHz and  with 1 Gb in RAM.
In the processes I find  two  suspicious :

fwlogwatch -f /var/log/kernel-20040131 wich is ussing 59.3 %  of CPU and  36.8 %  of mem.

fwlogwatch -S -f /var/log/kernel-20040 wich is using  47.4% of CPU and  28.4 % of mem


Some idea, How to return to normal CPU uses ?,  Which is the function of this proceses ?,  What happens  if I kill  the processes ?

Thank for your help

ET   


This thread was automatically locked due to age.
  • 0
    haven't seen that  on my machine.

    with that CPU I would expects logs to get processed rather quickly. How long does it stay at 100%?

    are your logs unusually large?

    here is the usage output from fwlogwatch

    Code:
    fwlogwatch 0.7 (C) 2002-03-27 Boris Wesslowski, RUS-CERT
    Usage: fwlogwatch [options]
    General options:
             -h          this help
             -L    show time of first and last log entry in file
             -V          show version and copyright info

    Global options:
             -c    specify config file (defaults to /etc/fwlogwatch.config)
             -D          do not differentiate destination IP addresses
             -d          differentiate destination ports
             -f    specify input file (defaults to /var/log/messages)
             -m   only show entries with at least so many incidents
             -N          resolve service names
             -n          resolve host names
             -O   define the sort order (see the man page for details)
             -P  use only parsers for specific formats
             -p          differentiate protocols
             -s          differentiate source ports
             -v          verbose, specify twice for more info
             -y          differentiate TCP options

    Log summary mode (default):
             -b          show amount of data (sum of total packet lengths)
             -e          show end times
             -l    process recent events only (defaults to off)
             -o    specify output file
             -S          do not differentiate source IP addresses
             -t          show start times
             -W          activate whois lookups for source addresses
             -w          HTML output
             -z          show time interval

    Interactive report mode (summary mode extension):
             -i   interactive mode with report threshold
             -F   report sender address
                         (defaults to 'root@router.freyder.com.(none)')
             -T   address of CERT or abuse contact to send report to
             -C   carbon copy recipients
             -I    template file for report
                         (defaults to /etc/fwlogwatch.template)

    Realtime response mode:
             -R          realtime response as daemon (default action: log only)
             -a   alert threshold (defaults to 5 entries)
             -l    forget events this old (defaults to 24 hours)
             -k  add this IP address or net to the list of known hosts
             -A          invoke notification script if threshold is reached
             -B          invoke response action script (e.g. block host)
             -X          activate internal status information web server

     




       
  • 0
    Hi eden,
    sometimes it is so easy to search the UBB 
    Have a look at  this  link.
    Cheers Bagira  
  • 0 in reply to bagira
    Thank,
      the problem was  big log files since 27 Jan. The criminal was a new machine connected to LAN infected with  msblast.   
Cookie Information Banner