Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 7847 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG 105 - High RAM Utilitzation

redcloud
I received a call a few days ago from a customer that claimed their Internet was sluggish and not working at times. When I logged into their Sophos SG 105, I noticed that the RAM utilization was consistently above 80%. After rebooting, the unit was still above 75%. It's my understanding that if the RAM utilization is above 75% for long periods of time that memory swapping can occur and cause throughput to suffer.

My question is: What can I do to free up some of this memory so it isn't consistently above 75%? Will restoring the unit from a backup resolve this issue?

Here is general information about how it is configured:

The WAN port is facing the internet through their ISP's modem / gateway and then connected to a gigabit switch on the LAN side.

Additionally, there is a single Sophos AP 115 connected with one SSID configured for office use only (not public).

The SG 105 is running the most current firmware (at the time of this writing); version 9.315-2. The unit has a FullGuard license.

At most, between the LAN and WLAN, there are a maximum of 20 clients connected simultaneously. It has worked fine for nearly a year without any issues. Only recently has the RAM utilization become an issue.

Up2Date is configured to check for updates every hour.

The system is configured as follows:
[Status: Enabled] 	Firewall is active with 15 rules
[Status: Enabled] 	Intrusion Prevention is active with 2082 of 24569 patterns
[Status: Enabled] 	Web Filtering is active, 4787 requests served today
[Status: Disabled] 	Network Visibility is inactive
[Status: Disabled] 	SMTP Proxy is inactive
[Status: Disabled] 	POP3 Proxy is inactive
[Status: Disabled] 	RED is inactive
[Status: Enabled] 	Wireless Protection is active, 1 APs connected
[Status: Enabled] 	Endpoint Protection is active, Sophos LiveConnect is enabled, 0 endpoints, 0 threat alerts, 0 out-of-date alerts
[Status: Enabled] 	Site-to-Site VPN is active with 0 of 1 tunnels
[Status: Enabled] 	Remote Access is active with 0 online users
[Status: Disabled] 	Web Application Firewall is inactive
[Status: Disabled] 	Sophos UTM Manager is not configured
[Status: Disabled] 	Sophos Mobile Control is inactive
[Status: Disabled] 	HA/Cluster is inactive
[Status: Enabled] 	Antivirus is active for protocols HTTP/S
[Status: Disabled] 	Antispam is inactive
[Status: Enabled] 	Antispyware is active


Here is the process list (from Support>Advanced>Process List)- notice that "/usr/sbin/named -4" and "/var/chroot-http/usr/bin/httpproxy -f -c /var/chroot-http -u httppr" account for 38.4% for RAM utilization combined:
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND

root         2  0.0  0.0      0     0 ?        S    Sep04   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S    Sep04   0:24  \_ [ksoftirqd/0]
root         5  0.0  0.0      0     0 ?        S
root     32738  8.2  0.0      0     0 ?        Z    14:22   0:00      \_ [confd.plx] 
root     32740  8.5  1.3  68584 27060 ?        S    14:22   0:00      \_ confd [worker[:P]rpc:system]
root      3325  0.0  0.0   1908    48 ?        Ss   Sep04   0:00 /usr/local/bin/confd-queuer
root      3337  0.0  0.1   8076  2716 ?        Ss   Sep04   0:36 confd-qrunner.pl
root      3354  0.0  0.1   7816  2580 ?        S    Sep04   3:47 /usr/local/bin/sysmond
root      3440  0.0  0.2  16972  4364 ?        S    Sep04   0:00 /var/aua/aua.bin
root      3442  0.0  0.0   1908     0 ?        S    Sep04   0:00  \_ logger -p daemon.debug -t aua[3440]
root     28291  0.0  0.0      0     0 ?        Z    14:04   0:00  \_ [aua.bin] 
rrdcache  3624  0.0  0.0 117096   628 ?        Ssl  Sep04   1:58 /usr/bin/rrdcached -l unix:/var/run/rrdcached/socket -m 777 -b /var
at        3655  0.0  0.0   2356    16 ?        Ss   Sep04   0:00 /usr/sbin/atd
root      3676  0.0  0.1  14028  2960 ?        S    Sep04   0:01 /usr/local/bin/notifier.plx -d
postgres  3731  0.0  0.1 573660  2032 ?        S    Sep04   0:27 /usr/pgsql92/bin/postgres -D /var/storage/pgsql92/data
postgres  3735  0.0  0.5 574028 10628 ?        Ss   Sep04   0:16  \_ postgres: checkpointer process                        
postgres  3736  0.0  0.0 573920   444 ?        Ss   Sep04   0:03  \_ postgres: writer process                              
postgres  3737  0.0  0.7 573920 15200 ?        Ss   Sep04   1:24  \_ postgres: wal writer process                          
postgres  3738  0.0  0.0 574660  1300 ?        Ss   Sep04   0:45  \_ postgres: autovacuum launcher process                 
postgres  3739  0.0  0.0   7964   340 ?        Ss   Sep04   0:02  \_ postgres: archiver process   last was 0000000100000011000000B2
postgres  3740  0.0  0.0   8248   656 ?        Ss   Sep04   1:47  \_ postgres: stats collector process                     
postgres  4503  0.0  0.1 576416  3220 ?        Ss   Sep04   0:39  \_ postgres: hotspot hotspot 127.0.0.1(41145) idle       
postgres  4929  0.0  0.0 576368  1512 ?        Ss   Sep04   0:00  \_ postgres: smtp smtp 127.0.0.1(41170) idle             
postgres  5347  0.2  0.1 576440  3660 ?        Ss   00:15   2:08  \_ postgres: smtp smtp 127.0.0.1(47052) idle             
postgres 20203  0.0  0.1 576456  3172 ?        Ss   05:41   0:00  \_ postgres: epp epp 127.0.0.1(48790) idle               
postgres 22437  0.0  0.5 577844 11200 ?        Ss   13:23   0:00  \_ postgres: reporting reporting [local] idle            
postgres 22438  0.0  0.1 576328  3428 ?        Ss   13:23   0:00  \_ postgres: reporting reporting [local] idle            
postgres 22491  0.1  0.5 576860 10884 ?        Ss   13:23   0:04  \_ postgres: reporting reporting [local] idle            
postgres 22508  0.0  0.2 576352  4248 ?        Ss   13:23   0:00  \_ postgres: hotspot hotspot [local] idle                
postgres 22563  0.0  0.2 576352  4248 ?        Ss   13:23   0:00  \_ postgres: hotspot hotspot [local] idle                
root      3810  1.0 11.3 260152 220976 ?       S    Sep04  93:35 /var/mdw/mdw.plx
root      3838  0.0  0.0   1908   204 ?        S    Sep04   0:00  \_ logger -p daemon.debug -t middleware[3810]
root      3832  0.0  0.0   1932    20 ?        Ss   Sep04   0:04 runsvdir -P /etc/service log: .....................................
root      3839  0.0  0.0   1788   104 ?        Ss   Sep04   0:00  \_ runsv snort-00
snort     7114  0.1  6.1 385032 120836 ?       S


Any help resolving this issue would be greatly appreciated.
Thanks.

Sam


This thread was automatically locked due to age.
Parents
  • 0
    I am also having an issue with this recently. I have ATP/IPS and Web Protection running. I also had to setup QOS to allow a smooth stream from my remote slingbox and Skype phones. What I did notice is that when ATP was turned off RAM went from 75% to 70%. Not sure if this is related to the link below.

    I opened a ticket with premium support and am having to escalate to find someone that wants to work.

    https://www.sophos.com/es-es/support/knowledgebase/122706.aspx
  • 0 in reply to jomo456
    I am also having an issue with this recently. I have ATP/IPS and Web Protection running. I also had to setup QOS to allow a smooth stream from my remote slingbox and Skype phones. What I did notice is that when ATP was turned off RAM went from 75% to 70%. Not sure if this is related to the link below.

    I opened a ticket with premium support and am having to escalate to find someone that wants to work.

    https://www.sophos.com/es-es/support/knowledgebase/122706.aspx


    There isnot a bunch that can be done with the 105 as it only has 2 gigs of ram.  The only thing you can do is put the rule aging on 6 months and maybe single scan http.  The only way to guarentee to fit in 2 gigs is to turn off atp and http proxy as the http proxy uses a gig of ram by itself.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    So i just closed the ticket with premium support and no one is really fessing up to what changes took place but memory utilization did drop by 10% recently. 

    Also, the processor seems to be working differently now. Before, processor would not fluctuate more than 5% but now it shoots up and down as i enable changes. Maybe something was stuck?

    Another thought, my issue was specifically streaming media related and how my devices where not being bypassed as i had set up in the policies.

    Either way i can report that with  ATP/IPS, Web Protection and QOS running i am now at 65% when looking at the gui,  bypassing about 10 media streaming and VOIP products as they should be.

    This is in a home environment with 35 devices connected but only 2 of them streaming jobs.

    ****I dont know if you guys have noticed but version 2 of sg 105 - 135 now comes with a 64gb ssd drive instead of a sata. Maybe some performance gains on this.......
  • 0 in reply to jomo456
    Hello Jomo,

    what is your update cylce? 15 minutes?
    Try using once a day for testing purposes, maybe your cpu spikes drop down a bit...
Reply Children
No Data
Unfiltered HTML