Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 46 replies
  • Subscribers 2 subscribers
  • Views 22461 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Swap File Excessive

Breakingcustom
I just got a Daily Report and checked it and noticed the Swap File average was 49%, yet the average for the physical memory was only 56%.  The Swap should not be that high.  The unit is running 9.101-12.


This thread was automatically locked due to age.
  • 0
    Hi ,

    Not all the time SNORT is taking too much RAM , but it fill up SWAP.
    Of you will investigate the SWAP , you will see that most of it is filled by SNORT.

    All my best.
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0
    Hi ,

    As mentioned already here in the UBB.
    You can run this procedure the check it: 

    wget http://www.mediasoftusa.com/swapusage
    mv swapusage swap-usage.pl
    chmod u+x swap-usage.pl
    ./swap-usage.pl

    From my experience if IPS is enable snort will take most of the swap then HTTP Proxy.
    If IPS is off , almost no swap and the highest will be HTTP Proxy , but without IPS almost no SWAP.
    I am running few clusters of 525 and all of them over 45% Swap which is far from normal when you have 6GB RAM and 2 Xeon processors .
    I am in touch about that with the high level support long time but still no solutions .
    Only a promises that SNORT will be optimized .
    But the truth is that SNORT and HTTP PROXY needs to be optimized , 
    Both of them takes to much resources , way to much.

    All my best.
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0
    sorry i don't see that..http proxy has always been the issue for me..i've run that script multiple times..[:)]  I'm not saying you aren't seeing the opposite but the cause isn't just snort..for many of use http proxy is the eater.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi William ,

    I accept with you that HTTP Proxy is one of the main eaters .
    I also can sway that it was not like that before.
    But also SNORT is a big eaters :-)
    Turn off IPS and you will see the resources goes down dramatically , also the HTTP Proxy. 
    But the bottom line is that no mater what taking swap , SWAP is too high , lots more than what it should.
    I have also a system with 16GB RAM , and still see SWAP .
    This should not happen at all .
    If there in enough RAM , there is no reason why swap grows .


    Ally best
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0
    I've done this and http still is the big eater at least in my systems...I do have the snort ruleset reduced to only what i need.  yes with enough ram swap should not occur..but it's been publicly stated sophos does not consider this an issue..we'll see how this works.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Snort is the issue in my case.  Once IPS is off, swap drops.  I haven't noticed any slowdown, but it shouldn't be using 25-30% swap when only 48-54% physical is being used.

    I swore I remember hearing someone from Sophos say in 9.2 they are redoing a slew of things.
Cookie Information Banner