Думки про вільний спанч

Я розглядаю можливість впровадження Splunk у своїй компанії, але дуже хвилююся щодо фінансових інвестицій. Я помітив, що є безкоштовна версія Splunk, яка здається досить хорошою.

Хто-небудь може мені сказати, чи використовуєте ви безкоштовну версію у вашій компанії? Чи вважаєте ви безкоштовну версію адекватною чи просто плацдармом для можливої ​​покупки?

Ми використовуємо безкоштовний Splunk разом з OSSEC для кількох клієнтів, і це ідеально зручно . Звичайно, він має деякі обмеження порівняно з невільною версією:

• Ліміт 500 Мб на день (з дозволеними двома або трьома піками на місяць): Якщо ви не генеруєте так багато даних, це не вплине на вас
• Автентифікація: у безкоштовного Splunk його немає. Ми використовуємо apache та http_auth для подолання цього обмеження. Це не ідеальне рішення, але досить добре. Якщо ви будете єдиним користувачем, можете запустити його на localhost.
• Різні користувачі: безкоштовний Splunk має лише одного користувача. Таким чином, ви не отримаєте персоналізовані інформаційні панелі та налаштування. Знову ж таки, якщо ви все шукаєте те саме і вам не байдуже ділитися або ви єдиний, не повинно виникнути жодних проблем.

Загалом, безкоштовний Splunk (особливо версія 4) - продукт сам по собі і може бути використаний у виробництві без побоювань, якщо вам не потрібні додаткові функції невільної версії.

Загалом, безкоштовний Splunk (особливо версія 4) - продукт сам по собі і може бути використаний у виробництві без побоювань, якщо вам не потрібні додаткові функції невільної версії.

Якщо у вас є невеликі обсяги даних для індексації, вищезазначене вірно.

Ми з’ясували, що якщо ваші дані знаходяться в межах межі, ви перебуваєте в TROUBLE.

Ми подумали: Чорт, 500 Мб / день, це багато. Якщо ми її перевищимо, нічого великого, ми зможемо шукати лише 500 mb.

Неправильно!

За даними сайту відповідей на випадок , якщо ви досягаєте меж, функція пошуку Splunk вимкнена ... за DAYS за раз.

Це ефективно Вбиває вашу систему виточки (якщо ви не можете шукати, вся система настільки ж корисна, як мішок з піском).

"Якщо ви перевищите свій ліцензований щоденний обсяг в будь-який календарний день, ви отримаєте попередження про порушення. Повідомлення зберігається протягом 14 днів. Якщо у вас є 5 і більше порушень на ліцензію Enterprise або 3 порушення на безкоштовній ліцензії в прокатній 30 -денний період пошуку буде відключено. Можливості пошуку повертаються, коли у вас було менше 5 порушень (Enterprise) або 3 (безкоштовно) за попередні 30 днів або коли ви застосовуєте нову ліцензію з більшим обмеженням обсягу.

Примітка. Під час періоду порушення ліцензії Splunk не припиняє індексувати ваші дані. Splunk блокує доступ лише під час перевищення ліцензії.

Тож навіть якщо у вас є платна ліцензія, якщо ви досягнете меж, ви можете ефективно відключити систему.

Ви навіть не можете змінити пароль адміністратора за замовчуванням за допомогою безкоштовної ліцензії. Це означає, що будь-хто в мережі може надсилати дані індексатору / експедитору за допомогою типових даних адміністратора: changeme.

Подумайте над цим.

Ми - команда з 12 осіб у великій медіа-компанії в Лондоні. У нас є корпоративна ліцензія, що перевищує 100 Гб для компанії в цілому, але наша команда все ще працює на окремому сервері з безкоштовною версією. Це дає нам більше свободи грати з конфігураціями та індексувати одноразові партії даних, які в іншому випадку зайняли б більше часу на нашій виробничій системі через права доступу та управління змінами.

Це своєрідне середовище розробки / тестування для спринцювань, але ми також маємо багато пошукових запитів та інформаційних панелей, якими ми користуємось весь час, і не маємо бажання переходити до виробництва. Так що так, безкоштовна версія корисна.