Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1719 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High load from reporting and logging services freezes device periodically

JunkzTheGoblin
Hello dear Community,

I have a problem with our SG430 HA (active/passive) system in my company.
As the title says already, if the logging & reporting services are enabled, the
CPU consumption shoots through the roof during our peak times in the morning and afternoon.
Serveral services stop to work(http,waf,smtp) for a few minutes multiple times a day.

Before someone asks, I already contacted our reseller with our problem too. 
But I hope to get some non sales minded tips or answers in this case.
(...buy a bigger one without looking for solutions etc. doesn't help me here.....)
Especially if someone else is encountering any trouble with the logging & reporting in a similar manner.

Our settings for this section are as follows :
- 1 month for all reporting 
- 1 level of URL detail
- IPFIX Accounting enabled
- daily, weekly and montly reports are enabled
- general logging is also enabled

I know that I could easily disable all the logging probes and be fine of course, but one of the key benefits of theses devices are these reporting features [:)]

Here is a briefly overview of our setup with some data:

- 9304-5 version used.
- 100MBit dynamic internet line
- about 1000 definitions & user objects
- 5 local networks with about 1000 clients / currently 600 alive
- 10 site-to-site tunnel
- 7 RED 10 devices connected
- 10-20 concurrent SSL-VPN users
- WebFiltering active with Dual-Scanning (512MB) + HTTPS, 200000 req/day
- FTPFiltering active with Dual-Scanning (512MB)
- SMTP-Proxy active with Dual-Scanning (512MB), 20000 mails/day
- Network Visibility active with 4 blocking groups
- Firewall with 64 rules, 109 NAT rules, one class C net outside
- 15000-20000 concurrent connections

- IPS deactivated
- ATP deactivated
- Endpoint deactivated
- Wireless Protection deactivated
- Sophos UTM Manager deactivated
- Sophos Mobile Control deactivated
- POP3 Proxy deactivated


Is this already too much for this device? Or are there any open issues with log&report that
I didn't found so far? 
I periodically look in the known issues list for hints to existing problems I may have but....nothing found so far that helps.

Maybe someone is willing to tell me about his experience in a similar case?

Thanks in advance.

Junkz


This thread was automatically locked due to age.
  • 0
    just going by the basic sizing chart for 9.x yes your 430 is too small.  Especially given you have ATP and IPS off.  minimum guidelines are an sg550 but you may even require something bigger OR get a second 430..without a detailed look at your system and a good conversation about your network and usage this is only a guess..but a single 430 is not going to handle your loads.

    One thing i would do is cut you a/v scanning to about 10 megs.  Rarely is there going to be a payload hidden in something larger than that.  That will also save on cpu load and ram usage..especially with how tight things are now.

    I sense some distrust with your reseller.  Good resellers are not just box pushers.  If you honestly feel you have a box pusher then you might need to change...but give your reseller a chance...[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Thank you very much for your detailed answer William! 

    I will keep your tip and explanation regarding AV scanning in mind as an option to decrease the overall load on the device.
    The IPS and ATP feature was also a buying argument for this product too. 
    We want to enable it of course, but at the moment it is impossible.

    I am doing a small test with IPS and ATP at the moment. These two features raise the CPU load on about 30%-45% (Friday afternoon = lower load than the other working days) 

    If you need more insight detail about our network infrastructure I will provide you as long as it complies with my companies security guideline of course.

    Best regards
    Junkz
  • 0
    well your current utm is underpowered cpu wise for the large amount of devices..rules...users...vpn...and other things you have on.  Since you have a reseller i'm not going to dig into the sg specs but i'm not sure even a second 430 in cluster mode would be enough.  Your reseller(as long as they aren't simply a box pusher) should be able to give you a recommendation as to IF a second 430 in active-active mode would handle the load you are putting on it...and/or if a 550 or even a 650 would be required or be a better value depending on the requirements..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Thanks again for your advise william,

    we already started a discussion in my company how we will step forward on this issue. Currently all options are under investigation.

    Best regards
    Junkz
  • 0
    Update...

    I had a call with our reseller who gives us another valuable information about the load of our SG's. He told us that our load average, which was around 2-3 or higher is above the level of 1 which should not be exceeded during daily business...

    I started to monitor our appliance with atop.
    I hope I will pinpoint the processes in case of a hickup and also which processes causing our above as normal load average.

    Best regards
    Junkz
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?