Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 10604 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High usage or bad performance

ciscoman
Hi,
not sure if this is normal for an ASG 320HA. V8.103
It looks like that the performance is very high. The CPU usage is between 20-50 % permanently.
Does a proxy with activated single scan engine does take so much resources?
2 500 000/requests per day / logging enabled
some mail traffic (below 5000 mails/day)
This box is designed (data sheet) to manage 600 000 concurrent sessions and 165 Mbit/s UTM throughput.

Cheers,


top - 08:17:37 up 62 days, 8 min,  2 users,  load average: 0.53, 0.59, 0.50
Tasks: 150 total,   1 running, 147 sleeping,   0 stopped,   2 zombie
Cpu(s): 18.0%us,  4.0%sy,  0.0%ni, 78.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   2068092k total,  1935700k used,   132392k free,   338316k buffers
Swap:  1052248k total,   159920k used,   892328k free,   903736k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 9963 postgres  20   0 49848  36m  35m S  5.6  1.8   2854:41 postgres
 9436 postgres  20   0 49700  37m  36m S  5.3  1.8   2715:34 postgres
 5154 root      19  -1  6356 3652  872 S  1.0  0.2   1632:38 ulogd
 5548 root      15  -5  9560 5964  404 S  0.7  0.3   1934:07 conntrackd
 6012 root      20   0  7404 3276 1232 S  0.7  0.2   1878:26 syslog-ng
26668 root      20   0 33100  14m 4088 S  0.7  0.7   0:14.84 smtpd.bin



top - 08:19:53 up 62 days, 10 min,  2 users,  load average: 0.82, 0.66, 0.54
Tasks: 153 total,   5 running, 146 sleeping,   0 stopped,   2 zombie
Cpu(s): 43.0%us, 16.4%sy,  0.0%ni, 29.2%id,  0.3%wa,  1.3%hi,  9.8%si,  0.0%st
Mem:   2068092k total,  1949860k used,   118232k free,   339220k buffers
Swap:  1052248k total,   159920k used,   892328k free,   915424k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 6086 httpprox  20   0  387m 156m 3676 R 11.9  7.8   3369:39 httpproxy
20469 root      20   0 17288 9456 3512 S 10.9  0.5  13:53.43 websec-reporter
 6012 root      20   0  7404 3276 1232 S  7.3  0.2   1878:31 syslog-ng
 5548 root      15  -5  9560 5964  404 S  6.3  0.3   1934:11 conntrackd
 9963 postgres  20   0 49848  36m  35m R  5.0  1.8   2854:47 postgres
 5154 root      19  -1  6356 3652  872 S  4.6  0.2   1632:41 ulogd
31841 root      20   0  2324 1104  808 R  3.3  0.1   0:00.10 csync2
26668 root      20   0 33100  14m 4088 S  2.7  0.7   0:17.51 smtpd.bin
 9436 postgres  20   0 49700  37m  36m S  1.7  1.8   2715:39 postgres


This thread was automatically locked due to age.
  • 0
    It really depends on the traffic passing through as far as how much cpu is used.  If you have a significant steady flow of traffic, then it will be higher as packets are constantly being processed (scanned, classified, logged, checked against exceptions, etc.).

    What do the Network Usage charts show as compared against the CPU Usage?
  • 0 in reply to Scott_Klassen
    Hi,
    i would say : Peanuts.
    Something between 4 and 10Mbps permanently.

    And, if I remember correctly, it is a recommendation from performance point of view to use single scan engine instead double scan engine.

    And one reason to upgrade from v7 to v8 was performance improvements (64bit architecture).

    Cheers,
  • 0
    What did the Executive Reports indicate prior to the upgrade?  Are you using any of the new V8 features?

    I would have thought that a reload from ISO would be required to activate the 64-bit version.  Can anyone confirm that one way or another?

    Cheers - Bob
  • 0 in reply to BAlfson
    What did the Executive Reports indicate prior to the upgrade? 
    Cheers - Bob


    I'm afraid I do not have older reports. During the major upgrade, reports will be lost. However, I'm pretty sure that the traffic in general was much less, so I do not have a good comparison.

      Are you using any of the new V8 features?
    Cheers - Bob


    Sure. The Audit feature (Changelog) is important in business environments.

    Cheers
  • 0
    a reload from ISO would be required to activate the 64-bit version
    Correct, it would't be able to switch over during an up2date package install.  It would need to be reinstalled from ISO to be placed into 64bit mode.
  • 0 in reply to Scott_Klassen
    Correct, it would't be able to switch over during an up2date package install.  It would need to be reinstalled from ISO to be placed into 64bit mode.


    Hm,
    I obviously have overseen this in the release notes. However, the reason to have an HA setup is to have 'no' downtime.
    Installing from scratch/iso can't be an option.

    The box is still miles away from the values mentioned in the data sheet 

    Thanks

    b.t.w. still the same with version 8.203

    Current software version...: 8.203
    Hardware type..............: 320A
    Installation image.........: 8.102-2.1
    Installation type..........: ssi
    Installed pattern version..: 23959
    Downloaded pattern version.: 23959
    Up2Dates applied...........: 5 (see below)
                                 sys-8.102-8.103-3.14.1.tgz (2011-07-08 06:07)
                                 sys-8.103-8.200-18.7.1.tgz (2011-12-15 06:21)
                                 sys-8.200-8.201-7.12.1.tgz (2011-12-15 06:22)
                                 sys-8.201-8.202-14.28.1.tgz (2011-12-15 06:24)
                                 sys-8.202-8.203-30.5.2.tgz (2011-12-15 06:24)
    Up2Dates available.........: 1
    Factory resets.............: 0
    Timewarps detected.........: 0
  • 0
    Hi,
    not sure if this is normal for an ASG 320HA. V8.103
    It looks like that the performance is very high. The CPU usage is between 20-50 % permanently.
    Does a proxy with activated single scan engine does take so much resources?
    2 500 000/requests per day / logging enabled
    some mail traffic (below 5000 mails/day)
    This box is designed (data sheet) to manage 600 000 concurrent sessions and 165 Mbit/s UTM throughput.



    that utm throughput number is best case scenario.  how many users?  You say 5-10 mb/sec permanently..what kind of traffic is this?  Exactly which features and sub-features are you using?  Judging from your usage numbers above you are pushing things pretty well so nearly 50% cpu usage would not be unheard of..depending on features used and user count.
  • 0 in reply to ciscoman
    Hm,
    I obviously have overseen this in the release notes. However, the reason to have an HA setup is to have 'no' downtime.
    Installing from scratch/iso can't be an option.

    The box is still miles away from the values mentioned in the data sheet 

    Thanks

    b.t.w. still the same with version 8.203

    Current software version...: 8.203
    Hardware type..............: 320A
    Installation image.........: 8.102-2.1
    Installation type..........: ssi
    Installed pattern version..: 23959
    Downloaded pattern version.: 23959
    Up2Dates applied...........: 5 (see below)
                                 sys-8.102-8.103-3.14.1.tgz (2011-07-08 06:07)
                                 sys-8.103-8.200-18.7.1.tgz (2011-12-15 06:21)
                                 sys-8.200-8.201-7.12.1.tgz (2011-12-15 06:22)
                                 sys-8.201-8.202-14.28.1.tgz (2011-12-15 06:24)
                                 sys-8.202-8.203-30.5.2.tgz (2011-12-15 06:24)
    Up2Dates available.........: 1
    Factory resets.............: 0
    Timewarps detected.........: 0


    if you have an HA then you can simply update the master update..when it goes down it will have the slave take over...then when the master comes back online you'll get the master back online.  There is going to be a few seconds of missed connectivity as the two fail over....no way around that in HA mode.
  • 0
    You aren't going to be able to go into 64 bit mode though without significant downtime..true you'll have to schedule a maintenance window.
  • 0 in reply to William Warren
    that utm throughput number is best case scenario.  how many users?  You say 5-10 mb/sec permanently..what kind of traffic is this?  Exactly which features and sub-features are you using?  Judging from your usage numbers above you are pushing things pretty well so nearly 50% cpu usage would not be unheard of..depending on features used and user count.


    I guess less than 250 web clients, mostly SSL. (AV single scan on)
    Routing mails 5000/day AV (single scan on)
    less than 5 DNAT rules, Initial packets are logged
    less than 10 firewall rules, 
    web logging on 
    mail logging on
    attached to Astaro ACC
    HA mode active/passive
    TCP Window scaling enabled
    Log FTP Data Connections
    Log Unique DNS Requests


    No wireless, no application control, no RED, no SSL/ISPSec

    Cheers