High CPU Load for long time while up2date

You can improve the situation by switching to single scan and reduce the time reporting data is kept. But the only reliable solution is to buy new hardware...

You can improve the situation by switching to single scan and reduce the time reporting data is kept. But the only reliable solution is to buy new hardware...

The Customer has to turn of the second scanner??
i'can not remember to read anything like that in the glossy brochure!

One selling keypoint to choose Sophos UTM was the dual scan engine and now the customer has to turn it of?!
Yes Sophos Support told me the same but this is not an option.

This Box isn't able to do a simple scannerupdate at 10PM?
Even on weekends? Even on Holidays?

All other customers (ASG 110/120) will not have any problems.

I can't explain to myself......

Thank you for the hint with the reporting data.
I turned it down to 1 month long time ago with no positive results.
Now i turned it off completely.

looking forward to 10PM.....

anyway strange: why is "time reporting data is kept" relevant to "CPU-Spike when updating patterns" ??

Odi, I normally configure single-scan with Avira for my clients.  We used double-scan years ago, but the second engine never got a look at a virus as Avira caught them all.  Especially if you're running Sophos Endpoint, there's no reason to run the same AV engine at the edge.

Because of a bug in 9.306 that affected some people, I set ours to double-scan as William suggested in this thread above, and that fixed our problem.  I tried setting it back to single-scan after several Up2Dates, and it works fine now.

You also might consider Sascha Paris' Tweaking Guide.

Cheers - Bob
PS By the way, how many active IPs? /usr/local/bin/count_active_ip.plx --showcount
PPS Also, you might be interested in this trick.

I actually run dual scan on ALL(except the one basicguard who is going to upgrade next year) utm installs then run a third vendor on the endpoints.  You get the best of all three...[:)]

The result is not very meaningful

 utm:/etc # /usr/local/bin/count_active_ip.plx --showcount
 count_active_ip: checking active IP addresses
Active IP addresses:
Totals: IPv4: 0 IPv6: 0
 utm:/etc # /usr/local/bin/count_active_ip.plx
 count_active_ip: checking active IP addresses
 Unlimited License - no counting needed

The settings in Sascha Paris' Tweaking Guide where applied months ago with no noteworthy effect.

One more time i like to question the relation between those performance-tuning-settings and 100% CPU on Patternupdates made Sunday 22:00 pm.

right now the office is fully occupied and everyone is working CPU is 16%

as we are working in an financial environment we have raised preconditions.
therefore its not possible to turn off features that are lowering the security at will. 

If i like to switch of one scanengine i would need a statement from sophos that the security isn't affected in a single way. [:(]

I jsut had malware go right by avira but was caught by the sophos engine.  IME two of them is always better than one.

Same problem here. 2 * 220 active-passive cluster.
If up2date is running CPU rise to 100%. Webconnections are affected. Remote Access and Tunnels went down.

Unbelievable but true i've contacted Support several times and they promised improvement at first hand but ended in the repetitive verbal formula "to many Users for the System".

Completely disregarding the fact that there is NO, Zero, Nada User on Weekends or 10PM!!! Only me when i'm Updating the Box manually for the last 1 1/2 Years every night!!!! grrrrrrr

why are you manually updating?  The utm series mahcines are getting long in the tooth which is why they were replaced by the SG series.  If you want to setup a syslog server to export your logs to then perform a from scratch reinstall(make sure you export a config backup first).  If you cannot do that then i would suggest a minimum of an sg135 x2.  Your partner however would be a better resource for that inquiry.

@Bob:  You could, but you'll still be hurting greatly on performance.  SWAP runs off the hard drive, which is much slower than RAM.  You'll also find your drive churning fairly constantly.

unfortunately sophos a while back decided to automatically increase swap as a fix for their voracious ram appetite...especially with the http proxy demanding a gigabyte minimum irregardless of the installed amount.  This behavior has for me meant the sg105 is a dead product from the start.  4 gigs is becoming not enough pretty quickly with any kind of usage either.  I just has to increase my vm to 8 gigs to stop it from swapping north of 25% and i have a 5 user network here at my location.  Sophos is going to have to get their ram usage under control or even this generation of sg appliances is going to be ram starved in short order.

Hardwarerevision is : utm220v3
The CPU load is high by ervery pattern-check
40 Users with a 10Mbit Connection.


Today we `ve orderd a SG230HA.

Maybe it will run better.

btw when you get that newer hardware enable intrusion protection and ATP...[:)]

why are you manually updating? 

because every patternupdate is kicking us off the internet. Every Fieldworker will be disconnected, every site to site connection is going down. Not to mention the WebProxy is not working for 20 minutes. 

So i'm forced to do the update manually since months.
Would be easy for Sophos to make an Option for a scheduled update but for some reasons they decided to dont do that.

During the Day there are no problems at all. Only if up2date is running.
Its time for Sophos to get that Bug fixed or at least provide a workaround like a scheduler and not to answer reflexive "BUY NEW HARDWARE!"

Not really reflexive the utm series especially the 1xx and 2xx simply do not have the ram or CPU for the current codebase. Your 220 could easily be replaced by a 13x or better yet an sg230 for future proofing.  I would advise getting your reseller involved.

Not really reflexive the utm series especially the 1xx and 2xx simply do not have the ram or CPU for the current codebase. Your 220 could easily be replaced by a 13x or better yet an sg230 for future proofing.  I would advise getting your reseller involved.

CPU and ram is fine during the Day
its only the Patternupdate thats not working!!! 
my iphone can do patternupdates without interruptions.....