Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 2 subscribers
  • Views 13335 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.201-25] httpproxy high CPU

Systemtechnik
Hi,
after the update from 9.111-7 to 9.201-25 do we have Problems with the Performance.
Hardware: HA two Sophos UTM9 ASG320
CPU is switching between 50 an 100%.
In the Process list i see the httpproxy is up to 61%

61.3 39.4 2010332 1586496 ?     Ssl  May28 1537:11 /var/chroot-http/usr/bin/httpproxy -f -c /var/chroot-http -u httpp

Swap is after the Update also on nearly 100%

We tried to go back on 9.111-7 via Backup restore, but it dosen´t work.
After the restore we have still the firmwar 9.201-25


This thread was automatically locked due to age.
  • 0
    Hi Systemtechnik,

    Hardware: HA two Sophos UTM9 ASG320


    Probably I think that you are seeing the performance of a former slave unit.

    Before up2date
    Node1:Master
    Node2:Slave

    After up2date
    Node1:Slave
    Node2:Master  
  • 0 in reply to crayd
    Hello,

    Thx for all your help, but it still dosen´t work.


    First we tryed this One on Node 2 (Master):

     cc set http sc_local_db None (came a 1 out)

     cc set http use_sxl_urid 1  (came a 1 out)

    After this the Node 2 shutdown himself

    Then we tested this, but we think it was on the Node 1 (first Slave now Master)

    cc set http sc_local_db none

     /var/mdw/scripts/httpproxy restart


     /var/storage/chroot-http/var/pattern/sfcontrol # rm sfcontrol
     /var/storage/chroot-http/var/pattern/sfcontrol # ls

     cc set http sc_local_db mem

     /var/mdw/scripts/httpproxy restart  

     
    Proxyhttp still bad and swap also.
    Then we saw that the Node 2 was down an restarted it and he snyc with Node 1.

    So i think the first type for SXL where overwrite  by syncing from Node 1 or not?
  • 0
    When it comes out 1 it has confirmed the command.

    How much ram do you have? 

    also by setting cc set http use_sxl_urid 1 you are now setting both. You should set one or the other

    To use CFF cloud: sc_local_db none, use_sxl_urid 0
    To use local db: sc_local_db mem, use_sxl_urid 0
    To use SXL: sc_local_db none, use_sxl_urid 1
  • 0 in reply to stealthmatt_01
    hi stealthmatt,

    we have 4 GB Ram.

    I will try it once again.

    thx
  • 0
    OK here is my recommendations, 

    - Change pattern update to every 2 hours or more (with 600 users id recommend maybe once every 12 hours)

    Change IPS settings to last 12 month, and untick rules that you don't host internally i.e pop3, sql server, etc

    - If you are using transparent proxy, ensure that its set as transparent. When upgrading from 9.1 to 9.2 it seems like it sets it as "Full transparent, but this is not a selectable option any more and is greyed out" so set it to "Transparent"

    Then SSH into the box - and first lets turn all settings off

    cc set http sc_local_db none
    cc set http use_sxl_urid 0

    /var/mdw/scripts/httpproxy restart

    cd /var/storage/chroot-http/var/pattern/sfcontrol
    rm sfcontrol
    ls

    (ls should show no folders)


    exit out of SSH

    - Restart both UTM

    log back in to SSH 

    cc set http sc_local_db mem

    /var/mdw/scripts/httpproxy restart

    After a few minutes it will start downloading the database (this will take sometime about 15 minutes - ensure that your patten update is much greater than 15 minutes)

    You can check how much its downloaded by going to

     ls -l /var/chroot-http/var/pattern/sfcontrol

    and should show something like this (or be downloading up to this number):
    total 403052
    -rw------- 1 httpproxy httpproxy 412719748 Jun  3 23:04 sfcontrol


    Although 600 users is alot for this poor box, really you want a 5 series or a new SG series.

    If none of these improvments help it might be better to stay at 9.1
  • 0
    Hello, if possible just disable AV in Web security exception to try if CPU load goes down. I did that with success.
  • 0 in reply to uditis
    HI Stealthmatt,

    we did all you have typed.
    The transparent Mode do we not use, so it still on Standard mode.

    But it dosen´t solve our Problem at all.

    Thank you very much for your help!

    I think we try tomorrow the ISO to 9.111-7. [:(]

    Did the Backup File have all Config in it?
    Also Licence , certifikates an so on?
    Is there something that i should pay Attention on?
  • 0
    Have you engaged Sophos support directly or via your reseller yet on this problem?

    Make sure your licensing and support is straightened out before taking the chance of making a malfunctioning UTM completely non-functioning.

    Consider downloading all of the backups from the UTM before downgrading or reinstalling from ISO.  At the very least download the most recent backup files for each current and previous version from the UTM.

    Have on-hand your licensing information and license files (MyUTM) before rebuilding anything.

    As you have two units in HA consider breaking them up temporarily.  Shutdown the non-master unit, rebuild it in isolation, then power down the "old master" and install the newly rebuilt unit as a single unit.  From here you (and support) can choose which path seems to be more reliable.

    If you have not yet engaged support please consider doing so as soon as possible to better identify if this is a problem with 9.2, HA, the configuration or the update process.
  • 0 in reply to Systemtechnik
    HI Stealthmatt,

    we did all you have typed.
    The transparent Mode do we not use, so it still on Standard mode.

    But it dosen´t solve our Problem at all.

    Thank you very much for your help!

    I think we try tomorrow the ISO to 9.111-7. [:(]

    Did the Backup File have all Config in it?
    Also Licence , certifikates an so on?
    Is there something that i should pay Attention on?


    the backup config will have all of your certs and license yes.  however if there is a configuration issue causing this that ports over as well...let us know how it goes.
  • 0 in reply to William Warren
    HI,

    we are now in contact with the Sophos Support and they will lock on the appliance.

    So we will see what will happen.