Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 3476 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPProx using up CPU

njorge
We're having an issue with our UTM 425 where the httpprox process will start to gobble-up CPU. Normal CPU usage here is about 10-20% during peak hours. But occasionally I'll see it spike up to 40% and stay there indefinitely. When I SSH in and run top, it looks like httpprox is pegging a CPU.

I can then toggle web filtering off/back on via the web gui, or reboot, and the problem goes away until the next day.

Our re-seller doesn't see anything obvious. Where should I begin troubleshooting?


This thread was automatically locked due to age.
  • 0
    how many users?  which features?  what version of UTM software?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    how many users?  which features?  what version of UTM software?


    About 700 users.

    Base Functionality, Network Protection, Web Protection.


    • Firewall is active with 19 rules.
    • Web Filtering is active, 91036 requests served today (11:42 AM)
    • Network Visibility is Active, 1 Application Control rule active
    • Remote Access (HTML5 VPN) is active with 0 online users.
    • Sophos UTM Manager is connected.
    • Advanced Threat Protection is active.
    • Antivirus is active for protocols HTTP and HTTPS using the Sophos engine for sizes up to 3 MB.
    • Antispyware is active.



    HTTPS scanning is for URL filtering only.

    Verion 9.305-4.

    I tried turning off "Send suspicious content to SophosLabs for analysis". CPU usage dropped to normal for about an hour, and then spikes again.
  • 0 in reply to njorge
    This is a graph of our CPU usage. It's pretty apparent when httpprox is consuming CPU.
  • 0
    first off update to 9.306 if you have the files available if not i can post links.(do this during a maintenance window).  also have you contacted support?  http proxy hanging on 40% could be a bad pattern update.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to njorge
    This is a graph of our CPU usage. It's pretty apparent when httpprox is consuming CPU.


    ok so it is happening during working hours.  It appears something is going on in the network that is pressing the http proxy.  I'd be happy to take a quick gander during a cpu spike if you'd like.  pm me if interested.  my previous thoughts though still stand.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    first off update to 9.306 if you have the files available if not i can post links.(do this during a maintenance window).  also have you contacted support?  http proxy hanging on 40% could be a bad pattern update.


    Thanks for the reply. I'll update to 9.306 tonight and post back with results. I've contacted our reseller (we lease the firewall through our ISP). They said it may be an AV scanning issue, and to let them know if it continues. It seems to happens whether we have single-scan set to the Sophos or Avira engines.
  • 0 in reply to njorge
    Thanks for the reply. I'll update to 9.306 tonight and post back with results. I've contacted our reseller (we lease the firewall through our ISP). They said it may be an AV scanning issue, and to let them know if it continues. It seems to happens whether we have single-scan set to the Sophos or Avira engines.


    oh there was some kind of bug involving a/v and single scanning.  Frankly i would try dual-scanning and leave it on..greater security.  it will increase cpu but unless it starts affecting performance the extra security is worth it.  I always run dual-scan a/v.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    oh there was some kind of bug involving a/v and single scanning.  Frankly i would try dual-scanning and leave it on..greater security.  it will increase cpu but unless it starts affecting performance the extra security is worth it.  I always run dual-scan a/v.


    OK, I'll turn on dual-scan when I update to 9.306 and report back.

    I should clarify that CPU graph. The part where it drops back down at the end of yesterday is when I restarted the firewall. Once httpprox gets pegged, it will stay that way (after hours, when there's very little traffic going through) until the fw or web filtering is restarted.

    Regarding AV scanning - what do you recommend for the upper file size limit for scanning?
  • 0 in reply to njorge
    OK, I'll turn on dual-scan when I update to 9.306 and report back.

    I should clarify that CPU graph. The part where it drops back down at the end of yesterday is when I restarted the firewall. Once httpprox gets pegged, it will stay that way (after hours, when there's very little traffic going through) until the fw or web filtering is restarted.

    Regarding AV scanning - what do you recommend for the upper file size limit for scanning?


    10 megabytes

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    oh there was some kind of bug involving a/v and single scanning.  Frankly i would try dual-scanning and leave it on..greater security.  it will increase cpu but unless it starts affecting performance the extra security is worth it.  I always run dual-scan a/v.


    Today was better. I upgraded to 9.306-6 last night. I also enabled dual AV scanning. Attached is our CPU graph. Notice right above the 9:46 AM tick mark, the issue reoccurred. In this case, though, it self-corrected without me having to reboot the UTM or toggle web filtering.

    I'll keep an eye on it and report back.
Cookie Information Banner