Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 4082 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proc spiked and network connections lost

screamingpotato
I'd like to find out what happened, where should I be looking to collect the information? Looked at a bunch of logs but they're either irrelevant or I don't understand what's in them. 

Systems were running fine this morning, then multiple users began reporting no communication with our site-to-site VPN. After a brief check I see there is no external connectivity, no internet, etc to our network. Astaro Security Gateway 220 display read 100% usage on all network interfaces. I was able to login to the control panel and the dashboard showed 100% proc usage, which lasted approximately 7 minutes and then died down. During that time the web interface wouldn't respond if I clicked on anything inside it, all I could do was close out and login again which would bring up the dashboard. Memory usage remained around 60% which seems to be normal.


This thread was automatically locked due to age.
  • 0
    Hi, you can see the process list under the 'support' section.

    Barry
  • 0 in reply to BarryG
    Hi Barry, 

    Thanks, but the proc has returned to normal so the process list doesn't show anything odd and I was unable to click anything while it was spiked. Is there a log of the proc time?
  • 0
    The system messages log would probably be your best bet for an error message clue.  Astaro doesn't log every change in Proc, as this would come at a performance cost (would use a lot of proc just to do the logging).  If this happens repeatedly, you should open up a support ticket and Astaro Support can enable debug logging on your system.
  • 0 in reply to Scott_Klassen
    OK, just went through another bout of this right now. This event lasted approximately 5 minutes. During this time the Astaro display shows all enabled network interfaces at 100% usage, eth0, eth 3, etc. Proc utilization via the support/advanced/process list shows almost nothing. Everything went back down to normal again without any action.
  • 0
    Do you see a large amount of dropped packets during this five minute period in the firewall/packet filter log?
  • 0
    In Intrusion Prevention, what do you have in 'Local networks'?

    Cheers - Bob
  • 0
    We have an ASG220 as well and used to have 4 to 5 daily 100% CPU spikes for over a month.  Each of these spikes would last from 2 to 15 minutes.  Short spikes cause internet access to drop, longer ones caused networking issues.  After monitoring logs and live logs we submitted a support ticket and support gave us a patch to run.
     
    As soon as we ran the patch the spikes were pretty much gone.  Two weeks since the patch and no problems.

    So, submit a support ticket, hopefully the patch will work for you.
  • 0 in reply to Reggy161
    Guys I'm sorry I haven't gotten back with you, my reply notifications must have been flagged off and I didn't realize there were any. 

    Do you see a large amount of dropped packets during this five minute period in the firewall/packet filter log?


    I have not looked but I will check next time this happens. 

    In Intrusion Prevention, what do you have in 'Local networks'?

    Cheers - Bob


    The only thing in there is "Internal (Network)" and policy is set to "drop silently"

    We have an ASG220 as well and used to have 4 to 5 daily 100% CPU spikes for over a month.  Each of these spikes would last from 2 to 15 minutes.  Short spikes cause internet access to drop, longer ones caused networking issues.  After monitoring logs and live logs we submitted a support ticket and support gave us a patch to run.
     
    As soon as we ran the patch the spikes were pretty much gone.  Two weeks since the patch and no problems.

    So, submit a support ticket, hopefully the patch will work for you.


    Thanks for the info, that's exactly what's going on here! Unfortunately I don't think we're paying for support. This appliance was purchased some time in 2010 so maybe I've still got some included support from the original purchase. I will go this route if possible.
  • 0
    This appliance was purchased some time in 2010 so maybe I've still got some included support from the original purchase. I will go this route if possible.
      You can check your license status in WebAdmin>>Management>>Licensing.
  • 0 in reply to Scott_Klassen
    You can check your license status in WebAdmin>>Management>>Licensing.


    I checked there and it appears to have an old license installed (we had a 220 previously also). I know this device was purchased in 2010, but the registration date here is July 2005, and the expiration date is July 2009. I'm guessing we're missing a license file that should have been imported?