Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1723 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High load from reporting and logging services freezes device periodically

JunkzTheGoblin
Hello dear Community,

I have a problem with our SG430 HA (active/passive) system in my company.
As the title says already, if the logging & reporting services are enabled, the
CPU consumption shoots through the roof during our peak times in the morning and afternoon.
Serveral services stop to work(http,waf,smtp) for a few minutes multiple times a day.

Before someone asks, I already contacted our reseller with our problem too. 
But I hope to get some non sales minded tips or answers in this case.
(...buy a bigger one without looking for solutions etc. doesn't help me here.....)
Especially if someone else is encountering any trouble with the logging & reporting in a similar manner.

Our settings for this section are as follows :
- 1 month for all reporting 
- 1 level of URL detail
- IPFIX Accounting enabled
- daily, weekly and montly reports are enabled
- general logging is also enabled

I know that I could easily disable all the logging probes and be fine of course, but one of the key benefits of theses devices are these reporting features [:)]

Here is a briefly overview of our setup with some data:

- 9304-5 version used.
- 100MBit dynamic internet line
- about 1000 definitions & user objects
- 5 local networks with about 1000 clients / currently 600 alive
- 10 site-to-site tunnel
- 7 RED 10 devices connected
- 10-20 concurrent SSL-VPN users
- WebFiltering active with Dual-Scanning (512MB) + HTTPS, 200000 req/day
- FTPFiltering active with Dual-Scanning (512MB)
- SMTP-Proxy active with Dual-Scanning (512MB), 20000 mails/day
- Network Visibility active with 4 blocking groups
- Firewall with 64 rules, 109 NAT rules, one class C net outside
- 15000-20000 concurrent connections

- IPS deactivated
- ATP deactivated
- Endpoint deactivated
- Wireless Protection deactivated
- Sophos UTM Manager deactivated
- Sophos Mobile Control deactivated
- POP3 Proxy deactivated


Is this already too much for this device? Or are there any open issues with log&report that
I didn't found so far? 
I periodically look in the known issues list for hints to existing problems I may have but....nothing found so far that helps.

Maybe someone is willing to tell me about his experience in a similar case?

Thanks in advance.

Junkz


This thread was automatically locked due to age.
Parents
  • 0
    just going by the basic sizing chart for 9.x yes your 430 is too small.  Especially given you have ATP and IPS off.  minimum guidelines are an sg550 but you may even require something bigger OR get a second 430..without a detailed look at your system and a good conversation about your network and usage this is only a guess..but a single 430 is not going to handle your loads.

    One thing i would do is cut you a/v scanning to about 10 megs.  Rarely is there going to be a payload hidden in something larger than that.  That will also save on cpu load and ram usage..especially with how tight things are now.

    I sense some distrust with your reseller.  Good resellers are not just box pushers.  If you honestly feel you have a box pusher then you might need to change...but give your reseller a chance...[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0
    just going by the basic sizing chart for 9.x yes your 430 is too small.  Especially given you have ATP and IPS off.  minimum guidelines are an sg550 but you may even require something bigger OR get a second 430..without a detailed look at your system and a good conversation about your network and usage this is only a guess..but a single 430 is not going to handle your loads.

    One thing i would do is cut you a/v scanning to about 10 megs.  Rarely is there going to be a payload hidden in something larger than that.  That will also save on cpu load and ram usage..especially with how tight things are now.

    I sense some distrust with your reseller.  Good resellers are not just box pushers.  If you honestly feel you have a box pusher then you might need to change...but give your reseller a chance...[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?