Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 7550 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ulogd restarts

JonEtkins
After enabling IPFIX reporting a couple of days ago, I've received over half a dozen "Ulogd not running - restarted" alerts.  The system log shows 
2013:10:04-07:18:57 astaro ulogd[13556]: BUG at ipfix.c:125

2013:10:04-07:18:57 astaro ulogd[13556]: SIGABRT received

2013:10:04-07:18:57 astaro ulogd[13556]: BUG at thread.c:33

2013:10:04-07:18:57 astaro ulogd[13556]: SIGABRT received


I'm running 9.105-9.  Is this something that might have been addressed in 9.106-17?


This thread was automatically locked due to age.
  • 0
    Still happening after updating to 9.106-17: 

    2013:10:08-05:08:39 astaro ulogd[22126]: BUG at ipfix.c:125

    2013:10:08-05:08:39 astaro ulogd[22126]: SIGABRT received

    2013:10:08-05:08:39 astaro ulogd[22126]: BUG at thread.c:33

    2013:10:08-05:08:39 astaro ulogd[22126]: SIGABRT received

    Anyone?  Bueller?
  • 0
    Is this happening on your home box or on the one at work?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    This is on my home box, Bob.
  • 0
    Still happening.  The timing seems random, though I suspect it may be being triggered by some particular traffic or other event.  The logged exception is the same every time:
    2013:10:14-20:14:32 astaro ulogd[17059]: BUG at ipfix.c:125
    2013:10:14-20:14:32 astaro ulogd[17059]: SIGABRT received
    2013:10:14-20:14:32 astaro ulogd[17059]: BUG at thread.c:33
    2013:10:14-20:14:32 astaro ulogd[17059]: SIGABRT received
  • 0
    Same thing here - ticket with Sophos Support is open since beginning 03.2013. This is a major problem as it seems like live logging does not work properly during the restarts. 

    It is amazing that Sophos does not give a thing about it - a security product without reliable logging - great idea. 
    There have been probably more than 10 Updates for the UTM since opening this case. None helped yet. Actual Response from Sophos support is: eventually a fix will come in 9.2 Q1 next year.
  • 0
    Guys, I'm just not seeing this anywhere.  T-work, what does Sophos say is happening?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    OK, same here, after we had enabled it.

    The module has a bug and the solution is to waiting for 9.2 (release the next weeks). 
    With 9.2 there will be improvements and fixes for the IPFIX module.

    Currently I have turned it off again.
    Maybe there is another solution, but in this case it isn't critical, probably the 9.2 will be the solution. But I am still waiting for feedback.

    Nice greetings
  • 0 in reply to BAlfson
    Guys, I'm just not seeing this anywhere.  T-work, what does Sophos say is happening?

    Cheers - Bob


    Hey Bob - sorry for the delay.
    Our ticket is still open. Latest status is from 11.20.2013: "no news for the bug-IDs - tagged for 9.2 early 2014"


    Also IPFIX is nearly unusable, as IPFIX.ingressInterface' and 'IPFIX.egressInterface is not part of the config template. This makes it uninteresting for our software solutions for analysis. 

    It is a shame, that there still is no solution for the loging deamon crashes for more than a year now, but at least the workaround just means to not to use a part of the UTM that does not work itself ;-).
  • 0
    No, sorry - there are no updates to the ticket(s).

    Just choose: 
    - have IPFIX, if you have an analyzer that works without in- and egress fields
    - have your logging work properly

    We chose the logging part.
    I do not understand the way Sophos interprets "Platinum Support".
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?