Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 56 replies
  • Subscribers 2 subscribers
  • Views 46060 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Sophos UTM 9.000] High memory/swap usage

Appelsap
Hello,

See the screenshot below for a monthly view of our Sophos UTM memory usage.
I think that the swap and memory usage is verry high. After a reboot it is normal for a few days but grows up fast.
Is this a problem? We have 3.3gb memory.
CPU is normal around 15%

We have the following services enabled:
- Firewall
- Intrusion Prevention
- Web filtering
- Network visib.
- FTP & SMTP proxy
- Antivirus, antispam & antispyware



This thread was automatically locked due to age.
Parents
  • 0
    I've been "managing" high snort swap on 8.305 for the last few weeks/months (it is a blur).

    Has the snort swap "issue" improved for others since ~11/13?   I was restarting snort at least once a week to knock down the swap usage but it has been surprisingly steady since 11/13.  I've also had webadmin and ulogd require restarts to knock down ram usage in the last week or so.

    Prior to this I'd been working through rules and definitions, the only thing I did at approximately the same time is rebuild the reporting database.  I still have more rule and definition cleanup ahead of me so I don't think "I fixed it".
Reply
  • 0
    I've been "managing" high snort swap on 8.305 for the last few weeks/months (it is a blur).

    Has the snort swap "issue" improved for others since ~11/13?   I was restarting snort at least once a week to knock down the swap usage but it has been surprisingly steady since 11/13.  I've also had webadmin and ulogd require restarts to knock down ram usage in the last week or so.

    Prior to this I'd been working through rules and definitions, the only thing I did at approximately the same time is rebuild the reporting database.  I still have more rule and definition cleanup ahead of me so I don't think "I fixed it".
Children
  • 0 in reply to hopkins.103
    I' ve got the same pain with my 220 Rev5, about 120 Users, Full Guard Lic.: Webfilter and Web Application and IPS active:

    I even disabled all rules but the DoS/Flooding and Portscan -> within 2 days I am at 12. Bandwidth is cut from 100 MBit to 40 MBit.

    Opened a ticket several days ago .... [:S]
  • 0 in reply to jlan
    I have one site where the IPS "leaks" and eventually consumes all swap, then RAM (this is on a 435 unit).... we have to reboot it once a week (it will go a little longer, but I can't schedule reboots bi-weekly easily in ACC/SUM).... I have an old case on this as well, but they never could reproduce it.  None of my other managed sites with IPS enabled have this issue, but there is one unique thing about the site with the trouble; it is in bridged mode with an old Cisco PIX in front of it that has been known to do wierd things with traffic that caused SMTP mail flow issues, etc. before, so I suspect that once we get rid of the PIX and run the UTM in "routed" mode, that leak issue will go away for this customer.  Just my .02.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Cookie Information Banner