Hohe CPU-Last durch Snort, nur 50% Bandbreite

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Hohe CPU-Last durch Snort, nur 50% Bandbreite

      Hallo EFW-Gemeinde,

      ich habe EFW Community 2.2 in einer Hyper-V VM auf WS2008 laufen. EFW hat zwei dedizierte Netzwerkkarten und es läuft eigentlich alles prima bis auf NTP (siehe meinen entsprechenden anderen Beitrag) und eine sehr hohe CPU-Last durch Snort.
      Wenn ich meine 6000er DSL ausreize und IDS ist eingeschaltte, bricht die Bandbreite fast um die Hälfte ein. Ein Check mit Top hat ergeben, das Snort hier einfach am Anschlag ist.
      ABER: EFW hat einen (virtuellen) Kern eines Intel Core 2Quad mit 2,4GHz für sich, das sollte doch 5 mal reichen, oder nicht?

      Ich hatte bisher IPCop (in derselben Konfiguration) laufen und hatte dort keine Probleme.

      Top sagt mir die (virtuelle) CPU ist am Anschlag, im Host rührt sich aber kaum was, der langweilt sich eher. Oder hab ich einen Denkfehler? Hat jemand eine Idee?

      Quellcode

      1. top - 03:53:39 up 1:14, 1 user, load average: 1.12, 1.83, 1.47
      2. Tasks: 52 total, 2 running, 50 sleeping, 0 stopped, 0 zombie
      3. Cpu(s): 2.4%us, 1.5%sy, 0.0%ni, 10.3%id, 0.1%wa, 57.7%hi, 28.0%si, 0.0%st
      4. Mem: 514804k total, 282276k used, 232528k free, 40296k buffers
      5. Swap: 1028152k total, 0k used, 1028152k free, 74344k cached
      6. PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
      7. 5680 root 25 0 79452 56m 1272 R 79.6 11.3 3:46.50 snort
      8. 5709 root 15 0 1972 900 700 R 2.0 0.2 0:00.04 top
      9. 1 root 15 0 1500 552 468 S 0.0 0.1 0:02.89 init
      10. 2 root 11 -5 0 0 0 S 0.0 0.0 0:00.00 kthreadd
      11. 3 root RT -5 0 0 0 S 0.0 0.0 0:00.00 migration/0
      12. 4 root 34 19 0 0 0 S 0.0 0.0 0:46.01 ksoftirqd/0
      13. 5 root RT -5 0 0 0 S 0.0 0.0 0:00.00 watchdog/0
      14. 6 root 10 -5 0 0 0 S 0.0 0.0 0:05.68 events/0
      15. 7 root 15 -5 0 0 0 S 0.0 0.0 0:00.04 khelper
      16. 42 root 17 -5 0 0 0 S 0.0 0.0 0:00.62 kblockd/0
      17. 43 root 20 -5 0 0 0 S 0.0 0.0 0:00.00 kacpid
      18. 44 root 20 -5 0 0 0 S 0.0 0.0 0:00.00 kacpi_notify
      19. 103 root 20 -5 0 0 0 S 0.0 0.0 0:00.00 cqueue/0
      20. 104 root 20 -5 0 0 0 S 0.0 0.0 0:00.00 ksuspend_usbd
      21. 107 root 20 -5 0 0 0 S 0.0 0.0 0:00.00 khubd
      22. 109 root 11 -5 0 0 0 S 0.0 0.0 0:00.00 kseriod
      23. 131 root 25 0 0 0 0 S 0.0 0.0 0:00.00 pdflush
      24. 132 root 15 0 0 0 0 S 0.0 0.0 0:01.11 pdflush
      25. 133 root 20 -5 0 0 0 S 0.0 0.0 0:00.00 kswapd0
      26. 186 root 20 -5 0 0 0 S 0.0 0.0 0:00.00 aio/0
      27. 362 root 13 -5 0 0 0 S 0.0 0.0 0:00.00 ata/0
      28. 363 root 13 -5 0 0 0 S 0.0 0.0 0:00.00 ata_aux
      29. 372 root 10 -5 0 0 0 S 0.0 0.0 0:01.60 kjournald
      30. 496 root 21 -4 1600 604 392 S 0.0 0.1 0:00.49 udevd
      31. 794 root 11 -5 0 0 0 S 0.0 0.0 0:00.00 kjournald
      32. 795 root 11 -5 0 0 0 S 0.0 0.0 0:13.22 kjournald
      33. 911 root 15 0 2248 880 532 S 0.0 0.2 0:10.98 syslog-ng
      34. 928 root 15 0 1960 328 164 S 0.0 0.1 0:00.00 ulogd
      35. 2726 root 15 0 4608 3172 1032 S 0.0 0.6 0:05.72 uplinksdaemon
      36. 2928 root 15 0 2556 524 324 S 0.0 0.1 0:00.22 pppd
      37. 2932 root 18 0 5080 1956 1380 S 0.0 0.4 0:07.20 httpd
      38. 2940 nobody 18 0 5380 2268 1456 S 0.0 0.4 0:22.47 httpd
      39. 2941 nobody 15 0 5360 2276 1456 S 0.0 0.4 0:41.21 httpd
      40. 2991 root 18 0 3416 936 668 S 0.0 0.2 0:00.01 sshd
      41. 3085 root 15 0 1524 440 356 S 0.0 0.1 0:04.29 ifplugd
      42. 3327 clamav 15 0 86248 71m 796 S 0.0 14.3 0:04.19 clamd
      43. 3645 root 15 0 4596 1496 1172 S 0.0 0.3 0:00.24 master
      44. 3651 postfix 15 0 4632 1472 1168 S 0.0 0.3 0:00.06 pickup
      45. 3652 postfix 16 0 4856 1772 1428 S 0.0 0.3 0:00.08 qmgr
      46. 3660 root 0 -19 7148 3756 1020 S 0.0 0.7 0:00.45 mailgraph
      47. 3755 dnsmasq 15 0 3916 2860 408 S 0.0 0.6 0:00.06 dnsmasq
      48. 3798 root 18 0 5616 3432 1248 S 0.0 0.7 0:03.59 efw-mon-server.
      49. 3814 root 18 0 1824 584 468 S 0.0 0.1 0:00.11 fcron
      50. 3892 root 18 0 3636 2372 1316 S 0.0 0.5 0:00.11 efw-console
      51. 3893 root 18 0 3636 2368 1316 S 0.0 0.5 0:00.03 efw-console
      52. 3894 root 18 0 3640 2376 1316 S 0.0 0.5 0:00.03 efw-console
      53. 3952 root 18 0 3640 2376 1316 S 0.0 0.5 0:00.04 efw-console
      54. 3954 root 18 0 3640 2376 1316 S 0.0 0.5 0:00.03 efw-console
      55. 3955 root 19 0 3640 2376 1316 S 0.0 0.5 0:00.04 efw-console
      56. 5412 ntp 15 0 3820 3820 2816 S 0.0 0.7 0:10.00 ntpd
      57. 5558 root 11 -5 0 0 0 S 0.0 0.0 0:00.00 kauditd
      58. 5562 root 15 0 3284 1352 1128 S 0.0 0.3 0:00.66 bash
      Alles anzeigen


      Schon mal vielen Dank

      Gruß

      0rca
    • Re: Hohe CPU-Last durch Snort, nur 50% Bandbreite

      Hallo 0rca,
      kann das was du schreibst voll bestätigen, hatte einen IPCop mit Snort auf einem Via Epia mit 800 MHz laufen und das rannte ohne Probleme.
      Dann die efw auf einem P4 mit 2,2 GHz und der war nur am ENDE ! ( 98% Prozessorauslastung)

      Gruß Sabine
      EFW Version im Einsatz:

      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.0.5
      2 x 2.5.1
      8 x 2.2 Final
      1 x 2.3 Für mobilen Einsatz

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Sabine ()

    • Re: Hohe CPU-Last durch Snort, nur 50% Bandbreite

      Hallo,
      wenn die efw so viel am schaffen ist.

      Wieviele Benutzer sind dann derzeit gerade am Arbeiten/Surfen/Downloaden?
      Das was ich bei mir nur gelegentlich einschalte ist NTOP, weil so die erste Woche läuft das ganze ganz gut wenn dann aber viel Traffic aufkommen ist wirds immer schlimmer da kanns schon mal gut sein das NTOP auch mit 70% Last rumspringt.

      gruß Frank

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media