[Sophos UTM 9.000] High memory/swap usage

thanks mlenk. That's really good news (that wasn't on the bug list mentioned by Angelo)

interesting..now that we have recovered here from the hurricane i can fire up my test utm9 instance..[:)]

It seems that the swap is up to 44.9% so far (attached)

Looks like the Firmware version: 9.004-29 fixed the problem.

Memory usage is back to normal.

Since V8.3 we've had trouble with inconsistent proxy content filtering where some clients were timing out. This year, we've come to the conclusion that Astaro seems to be trying to do too much with one machine and it creates inconsistency in execution. There's a good chance we'll be looking for a new solution next year.

I've detailed UTM9's voracious memory demands over and over..astaro has basically told me i'm wrong..said i don't know what i am talking about and is now "hiding" the swap usage from the webadmin.  The only way to get utm9 to NOT swap is use a minimum of 4 gigs of ram..minimum.  I've told sophos performance issues would come up during the beta..i noted them..and now here they are in an increasing number of threads.  Sorry sophos you aren't going to be able to hide form this one...it's time to own up and either get your memory usage under control or make your ram requirements something realistic like 4 gigs.

William ist sooo right on this! I read his posts in the beta forum and he showed detailed that the installations were swapping to much an the ram consumption was to high.

I also noticed this and totally agree with him. It was more than clear that this issues will come up!

The hardware requierements should be put up to min 4GB and the RAM intstalled in the UTMs should also be more than 2GB. For a small box like 110/120 with Full Guard an all Services turned on and with 50 -75 people using it, 2GB is faaar to low for that leaking UTM system and faaar to low for not swapping.

And keep in mind, every swap will effect performance, cause hard drives will never be as fast as the data in the RAM.

Hi Albeck,

I generally agree with William's findings as I replicated his results on a test rig at home during the beta but your comments bring up an interesting point I think a lot of people overlook. (This isn't aimed at you. [;)])

For a small box like 110/120 with Full Guard an all Services turned on and with 50 -75 people using it, 2GB is faaar to low(...)

For a 120 with everything turned on and serving 50-75 people, the unit is too small, 2GB of ram or not.

The user recommendation range on the Technical Specs page is there for a reason. One can't reasonably expect a UTM that is sized for 35-100 users to handle 100 users when everything is turned on.

The dew, i think i don't get your point but well... let me try.


The tech specs for the utm 120 shows a sizing for 35 - 100 users. So 75 useres as I mentioned would fit in this spec.

Now your telling me that the box is to small for full guard and all services turned on?

Well if this would be right, something is wrong. Maybe then it shouldn't be possible to activate all services on those boxes, but now there is a new licence model witch only allows from basic to full guard... or the specs should be more lowered or the RAM should be rised, which would be the best option.

My 3 cents of this.

Hi Albeck,

It's really simple.

A machine like the 120 has a fixed amount of CPU & RAM available to service users. When just the basic firewall is turned on, the demands on the system (per user) are a certain amount. Each feature you turn on demands that much more CPU & RAM per user.

So with finite resources and an increasing demand on the system as you turn features on, something has to give. As the 120's resources are fixed, the number of users supported has to slip, hence the lower user number in their supported range.

The other thing to understand about the specs is there is an assumption that the user base is 'average', that they're office workers that need web & email access for their jobs but don't use either feature heavily. If your user base are "power users" or you support a larger number of VPN connections (S2S, roadwarrior, RED, etc) the sizing guides I've seen suggest even lower user counts.

As a real world example, I have a 120v3 running v8 in an office that supports around 40 users. We use just Net & Web Filtering. The 120 supports that load but there's not a lot of overhead. Nowhere near the 75 users the specs said we should be able to support. One day for giggles I turned on IPS to see how much overhead we really had.

Ever seen a 120 roll over and beg for mercy? [:D]

We determined that with the number of roadwarriors we had, the number & size of the VPN & RED tunnels we have to support, we'll be upgrading to a 220 next year when we come up for renewal, even though we're right smack in the middle of the supported user count.

I was going to add something, but Andrew has it covered; you have to have the box sized to the load, that's what it boils down to.