Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 9334 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS / snort causing 100% cpu load

Revan
Hello,

i have big problems using IPS since a few versions. Sometimes it works fine, most of the time i have to switch it off because it utilize 100 % cpu load.

i did no adjustments to the ootb configuration there, but it don`t work out very well.

When IPS works normally there is usually enough free memory and the cpu load is also unobtrusive so i think that the snort process hangs sometimes but i don`t know whats causing this.

On what should i look for on the ips log to get an idea of the cause?


This thread was automatically locked due to age.
  • 0
    Considering your signature you need new utm appliances.  Those are quickly approaching end of life and do not have the ram or CPU for the current utm requirements much less upcoming requirements.
  • 0
    Look for the post by Sascha Paris at the top of the "General Discussion" forum.  I agree with William that you should ask your reseller to have Sophos put a special offer on the table for you to switch soon if you have a lot of time left on your current subscription.

    Cheers - Bob
  • 0
    When it all depends on the appliance, why does increase the traffic (inbound and outbound) and cpu load but the amount of used ram is still the same as before?
    I also do not notice any change in swapping behavior with or without ips enabled.
  • 0 in reply to Revan
    When it all depends on the appliance, why does increase the traffic (inbound and outbound) and cpu load but the amount of used ram is still the same as before?
    I also do not notice any change in swapping behavior with or without ips enabled.


    This has been researched and presented in detail.  i'll summarize...IPS is totally CPU based.  You need a faster cpu with good single threaded performance.  Your utms do not fall into that category.
  • 0
    Revan, a new SG 210 with 3-yr subscriptions is much faster and costs less than the same renewal for the 220.  Depending on the load, you might be good with an SG 135 as it runs 4 cores at 2.4GHz compared to 1 core at 2.2GHz and has 6GB instead of 2GB as compared to the UTM 220 Rev.5.  See your reseller for sizing.

    The next time you get 100% CPU, login at the command line and get a picture of top for us.  You might need to be logged in with top running before hitting 100% in order to see this.

    Cheers - Bob