Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 2 subscribers
  • Views 7237 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM320 with 9.307-6 - Basically unusable after update

Kmaracle
Hello, I've been trying Sophos support, no luck for the last two days...

Our UTM320 is reaching 100% CPU and RAM usage periodically.

Top reports that the culprit is the  websec-reporter it uses all available memory until it starts to coredump all over the place.

Once this process starts core dumping, the http.log file also fills up with

2015:02:05-12:00:09 QMSGW httpproxy[5510]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xdf4c000" function="send_request_body_send" file="request.c" line="632" message="recv: Input/output error"

2015:02:05-12:00:09 QMSGW httpproxy[5510]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xde2db000" function="send_request_body_send" file="request.c" line="632" message="recv: Input/output error"

I can restart the proxy service by:

 /var/mdw/scripts/httpproxy restart    --for HTTP

And this will sometimes allow the system to limp along at 80-90 Memory usage (because of websec-reporter using it all), eventually websec ends, and all is good for about a half an hour or so then it restarts again

Any suggestions? We are a public school, the kids are very sad.....


This thread was automatically locked due to age.
  • 0
    We paid for premium support, I'm not all that impressed with that

    but what is missing is the tech manuals for the box, like clearing the db etc...is there one
    Nope, there isn't even such a creature within support.  Your first places to look are within the knowledgebase and these forums.

    is that I'll lose my history? I can do this at anytime? I don't have to shut down any other services first?
      Yep anytime and it'll wipe and rebuild the databases to first run state.  The script shuts down and restarts the necessary processes.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Hello I just want to say thanks for the advice. Our UTM seems to have fixed itself. There were the 4 days of spikeyness and sluggishness, then after Friday, it's been fine. I'm guessing it did some logfile clean up as part of the end of the week reports? We are a school, so there was very little use on the weekend. School started Tuesday, Feb 10, since then it's been good.

    Kev
  • 0
    /etc/init.d/postgresql92 rebuild

    is that I'll lose my history? just the current logging and reporting.

    I can do this at anytime?anytime  I don't have to shut down any other services first? no

    You may want to update to the current 9.308 soft release version 
    from 9.307 to 9.308
    ftp://ftp.astaro.com/UTM/v9/up2date/u2d-sys-9.307006-308016.tgz.gpg
  • 0
    I have also recently updated to 9.307-6 and I am experiencing the same issue, except my box has yet to reach 100% usage. It is definitely using much more RAM than before the upgrade.

    I just ran the DB rebuild. Going to restart after school and see what happens...
  • 0
    is that I'll lose my history? just the current logging and reporting.
    Correction, you will lose reporting, but NOT logs from rebuilding the database.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    I have seen this issue in over 10 UTM's , mainly UTM 120's and 220 , running different firmwares.
    Regular cpu spikes to 100% making internet unusable for minutes and sometimes longer.

    We have been logging atop a lot and noticed that 100% cpu spikes shorter then a minute don't show up in the hardware logging view.

    Several Sophos support cases are still under investigation.

    These CPU spikes are mainly caused by pattern updates, placing the pattern updates as a temporary measure on manual shows significent improvement.

    So i would really like to see this bug (open since 2013) fixed:

    ----------------------
    [19998] - HTTP-Proxy unresponsive on Pattern Up2Date installation  
    Description: During AV Pattern Up2Date the HTTP-Proxy is unresponsive. As this update may take some time it often breaks existing connections (e.g. downloads).

    Category........:  Web Protection - HTTP/S Proxy  
    Status..........:  assigned / open  
    Fixed in version: 
    Target version..:  9.109  
    ----------------------

    Another cause of regular CPU spike's, mostly at set times around 7 in the morning and 7 in the evening:

    adbs-maintenance: Starting ADBS maintenance run

    Observed this one with 120, 220's and even a new SG115 unit.
  • 0
    I have two sites where the clients aren't ready to spring for a newer unit with more RAM.  In each site, I set pattern updates to "Manual" and added a line to /etc/crontab-static to run those updates every morning at 4AM.  That trades a little security for continued usability.

    0 4 * * 0,1,2,3,4,5,6 root /sbin/audld.plx --nosys --trigger



    Cheers - Bob
    PS For the Up2Dates to begin happening immediately, you must also add the line to /etc/crontab.  Otherwise, it might be several days before WebAdmin regenerates crontab, inserting the new line from crontab-static.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    We've been doing the same as a temporary work-around with the up2dates.

    However I don't feel 100% sure it's a memory issue, my Home UTM 120 has plenty of free memory, almost zero load and still spikes whenever a up2date package comes through.
  • 0 in reply to R0n1
    We have an ongoing issue where web browsing is interrupted for about 20 minutes whenever Up2Date pattern updates occur. This is happening on all 20 of our UTM 110s and as you can imagine, has greatly impacted our ability to recommend Sophos as a Threat management solution. We found that this appears to be affecting many partners who are vocal in the support forums. We tried three workarounds, all which have failed. The first was try scheduling updates to only occur after business hours by committing an update schedule of every 2 days in the user interface, clicking the apply button in the middle of the night. We figured that the schedule must correspond to when the button is clicked. This worked for a few days, but we found the trigger seemed to wander from the originally committed time to again occur during business hours. The second workaround was to schedule up2date prefetch and up2date installation from the SUM. The updates have simply failed to occur with this method. Finally, there is a suggested configuration modification from BAlfson to set pattern updates to "Manual" and add a line to /etc/crontab-static to run those updates every morning at 4AM. 
    0 4 * * 0,1,2,3,4,5,6 root /sbin/audld.plx --nosys --trigger
    I have been unsuccessful committing this to our UTM and any guidance would be greatly appreciated.
  • 0
    Please tell me where I posted that.  The change must also be made to the crontab file.  I've made an adjustment to the post in this thread.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML