Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 14077 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High CPU usage with web security

Usbkey
Hi everyone

I noticed that my software ASG takes 75% CPU power when I download a big file, like a ISO image, the download will be interrupted if I disable web security, and then CPU usage will drop to below 20%

any ideas ? is this normal ? 

My software ASG is a 2.4Ghz Celeron 2G RAM, 75% of CPU for a single download looks too much for me.

thanks


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Maybe some here knows if snort multi-threads and takes as much CPU as it thinks it can have.


    Yes, and you can limit the # of threads as well:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/40032

    Barry
  • 0
    I could not find the place I can control how many thread, and another question, if I create exception for FTP service, do I still get IPS protection for my FTP server ?
  • 0
    I could not find the place I can control how many thread
    cc set ips num_instances 1
    This is done from the shell, either console or using SSH.  It must be run as root.

    if I create exception for FTP service, do I still get IPS protection for my FTP server
    There's more than one rule covering FTP.  If IPS is blocking some wanted traffic traffic from/to your FTP server, then you would need to create an exception for the rule being triggered.  If you're talking about disabling FTP rules, then I'll post a quote from the in-line help:

    To improve performance, you should clear the checkboxes that do not apply to services or software employed in your local networks. For example, if you do not operate a web server in your local network, you can cancel the selection for HTTP Servers.
  • 0 in reply to Scott_Klassen
    [QUOTE=Scott_Klassen;187995]
    cc set ips num_instances 1


    Thanks, and I take it that this will not be part of the configuration backup, am I correct ?
  • 0
    correct.  shell changes are not included in the backups.
  • 0 in reply to William Warren
    correct.  shell changes are not included in the backups.


    only partly true . Direct shell changes as modifiying scripts or config files are unsupported and unbackuped. Changes in the confd client (cc set ...) are in the ASG config and are also backuped.

    BTW: I do not see any reason to set IPS instances manually to 1, unless you have a real low memory ASG with multiple CPU cores. On single core machines ASG uses anyway only 1 instance if set to 0 (auto). I personally use on ASGs with dualcore and at least 2gig mem always 2 instances, which definately speeds up webbrowsing. On a quadcore with >3gig you also can give 4 instances a try. If I remember right, ASG uses per default automatically number of cpu cores - 1 snort instances. Exception are single core machines with 1 instance.

    Sent from my iPad using Astaro.org (finally got One)
  • 0


    only partly true . Direct shell changes as modifiying scripts or config files are unsupported and unbackuped. Changes in the confd client (cc set ...) are in the ASG config and are also backuped.

    BTW: I do not see any reason to set IPS instances manually to 1, unless you have a real low memory ASG with multiple CPU cores. On single core machines ASG uses anyway only 1 instance if set to 0 (auto). I personally use on ASGs with dualcore and at least 2gig mem always 2 instances, which definately speeds up webbrowsing. On a quadcore with >3gig you also can give 4 instances a try. If I remember right, ASG uses per default automatically number of cpu cores - 1 snort instances. Exception are single core machines with 1 instance.

    Sent from my iPad using Astaro.org (finally got One)


    The kernel counts ht fake cpus as physical and that can nail performance.  On any ht systems I restrict the number of snort threads to the actual physical cores.  Good to know cc changes are saved thanks for the heads up on that one.