[Sophos UTM 9.000] High memory/swap usage

I configured my UTM device 3 days ago.  For the first 2 days the memory util. was rock solid at 50%.  Fore some reason, it has creeped up to as high as 73% and its now holding steady at 68%.  I applied the 9.004-29 update and the memory is still at 68%.  

My UTM has a core 2 duo processor and 2 GB of RAM.  It is doing fw, IPS, country blocking, and web filtering and ssl vpn for a single user.  Currently, my network consists of a single desktop.  Inbound and outbound traffic is in the kilobits.  So, no major traffic.  

Snort is using 10% of memory (its set to only detect windows attacks), and the process named 810 is using 14%. 

Is this normal?

Hi, the % memory using isn't very meaningful as any OS will do a lot of caching.

If you can login on the console, and run 'free', it will show you something like this:

loginuser@fw:/home/login > free
             total       used       free     shared    buffers     cached
Mem:       2073360    1851536     221824          0     404664     576984
-/+ buffers/cache:     869888    1203472
Swap:      1048572        704    1047868
loginuser@fw:/home/login >

The numbers in bold are the total used RAM, less cache/buffers, and the total used swap.

This is from my home system running 9.003, and ~900MB used is typical for my system.

I only am running IPS and Application Detection.

Barry

Hi, the % memory using isn't very meaningful as any OS will do a lot of caching.

If you can login on the console, and run 'free', it will show you something like this:

loginuser@fw:/home/login > free

             total       used       free     shared    buffers     cached

Mem:       2073360    1851536     221824          0     404664     576984

-/+ buffers/cache:     869888    1203472

Swap:      1048572        704    1047868

loginuser@fw:/home/login >

The numbers in bold are the total used RAM, less cache/buffers, and the total used swap.

This is from my home system running 9.003, and ~900MB used is typical for my system.

I only am running IPS and Application Detection.

Barry

Here is the result of free.

loginuser@home-fw:/home/login > free

             total       used       free     shared    buffers     cached

Mem:       1988112    1876040     112072          0      65160     440452

-/+ buffers/cache:    1370428     617684

Swap:      1048572     131556     917016

That doesn't look bad, considering the features you have enabled.

It is likely that 2-4 Snort processes are running (I think Astaro defaults to 1 per CPU core or maybe per CPU thread). 
You can lower that if needed from the command line, but I don't think you need to right now.

If the memory graphs aren't showing an increasing trend in RAM or SWAP usage, I wouldn't worry about it.

Barry

Looks like the Firmware version: 9.004-29 fixed the problem.

Memory usage is back to normal.

Unfortunately ran into 100% memory (swap) again. Even after the update.
So it doesn't seems to be fixed.

That doesn't look bad, considering the features you have enabled.

It is likely that 2-4 Snort processes are running (I think Astaro defaults to 1 per CPU core or maybe per CPU thread). 
You can lower that if needed from the command line, but I don't think you need to right now.

If the memory graphs aren't showing an increasing trend in RAM or SWAP usage, I wouldn't worry about it.

Barry

Thanks Barry, I wont pay much attention to it.  On the plus side i do have some extra RAM that I am going to install so that its not sitting around collecting dust.

Unfortunately ran into 100% memory (swap) again. Even after the update.
So it doesn't seems to be fixed.

Hi,
Please provide a Process List from when the memory usage is high.
(webadmin -> support -> processlist)

Barry

I've been "managing" high snort swap on 8.305 for the last few weeks/months (it is a blur).

Has the snort swap "issue" improved for others since ~11/13?   I was restarting snort at least once a week to knock down the swap usage but it has been surprisingly steady since 11/13.  I've also had webadmin and ulogd require restarts to knock down ram usage in the last week or so.

Prior to this I'd been working through rules and definitions, the only thing I did at approximately the same time is rebuild the reporting database.  I still have more rule and definition cleanup ahead of me so I don't think "I fixed it".

I' ve got the same pain with my 220 Rev5, about 120 Users, Full Guard Lic.: Webfilter and Web Application and IPS active:

I even disabled all rules but the DoS/Flooding and Portscan -> within 2 days I am at 12. Bandwidth is cut from 100 MBit to 40 MBit.

Opened a ticket several days ago .... [:S]

I have one site where the IPS "leaks" and eventually consumes all swap, then RAM (this is on a 435 unit).... we have to reboot it once a week (it will go a little longer, but I can't schedule reboots bi-weekly easily in ACC/SUM).... I have an old case on this as well, but they never could reproduce it.  None of my other managed sites with IPS enabled have this issue, but there is one unique thing about the site with the trouble; it is in bridged mode with an old Cisco PIX in front of it that has been known to do wierd things with traffic that caused SMTP mail flow issues, etc. before, so I suspect that once we get rid of the PIX and run the UTM in "routed" mode, that leak issue will go away for this customer.  Just my .02.