Я дивився відео на splunk.com і насправді важко повірити, що всі ці функції можна отримати безкоштовно, все ще існує "де улов?" в потилиці.
Тож було б чудово, якби хтось, хто насправді використовує його Splunk на виробництві, хотів би поділитися своїм досвідом, можливо, підкресливши його переваги над, скажімо, Nagios?
Дякую заздалегідь.
Відповіді:
Ми використовуємо його для 7 + ГБ даних на день, але ми платимо за це. Багато. Я думаю, ми отримуємо трохи академічної знижки, але в основному нам вдалося виправдати витрачені гроші, оскільки це задовольнило аудиторів про те, щоб хтось / щось переглядав наші журнали.
Ми також використовуємо нагіоси. Ми налаштували nagios із деякими збереженими пошуковими запитами, які викликають скрипти, які або генерують сповіщення про nagios, або створюють RT- квитки. Так, наприклад, через помилки входу в X у 5-хвилинному часовому вікні (на всіх серверах) буде генеруватися попередження. Таку річ, що нагіоси реально не можуть зробити самостійно.
Раніше ми використовували SEC для генерування таких видів сповіщень, але це не спрацювало, і комусь досі доводилося намагатися використовувати grep-файл на 20 Гб.
Я не впевнений, що у нас вже не створюються сповіщення про нагіоси; ми перейшли більшість, якщо не все, до генерування RT-квитків. Модель сповіщення нагіосів насправді не працює добре для матеріалів, заснованих на аналізі журналів, це краще для речей зі станом, який може бути добрим чи поганим, а не дискретною подією, яка може потребувати розслідування.
Редагувати:
Так, це насправді дуже полегшує життя. Це значно краще, ніж намагатися проглядати журнали. У нас є вікна Windows, Linux та Solaris, що надсилають його до журналів.
Чи магічно знаходить саме те, що ви хочете, як видно з деяких відео? Ні, у нього є деякі обмеження, і вам, можливо, доведеться трохи налаштувати конфігурацію, щоб добре обробляти конкретні типи журналів. І надмірно "цікаві" пошуки можуть зажадати прочитати документи, а потім зачекати кілька хвилин, поки сервер розгортається. Але, якщо серйозно, то воно гойдається. З того, що я бачив, насправді нічого іншого в його лізі немає.
Я працював зі Splunk і Nagios, і вони слугують двома різними відмінностями.
Завдання Splunk робить пошук журналів набагато простішим і простішим. Збереження пошуків загальних проблем може бути неоціненним для виявлення проблем. У мене є два сервери Splunk в різних місцях, вони обидва використовують безкоштовне видання, оскільки ціноутворення було поза діапазоном, а щоденно індексованої суми недостатньо, щоб вимагати більше купувати.
Nagios, з іншого боку, створює чудову платформу для активного моніторингу. У мене є 5-серверна платформа Nagios, яка відстежує кілька географічних місць. Це зовсім інше, ніж Splunk, який відстежує логіни, Nagios може мати плагіни перевірки сервісу, написані для моніторингу практично будь-якого активного і дозволяють вам отримувати повідомлення про проблеми, щоб ви могли їх вирішити.
Я вважаю, що вони разом дають набагато кращу картину і допомагають підтримувати мережу. Особливо, якщо це команда проти індивідуальних зусиль. Усі учасники можуть бачити однакову картину.
Це безкоштовно лише до 500 Мб / день обробки журналу. Я перевірив це, і навіть якщо ви залишаєтесь менше 500 Мб / день, я виявив, що для багатьох «просунутіших» функцій потрібна реальна ліцензія. Для адекватної роботи також потрібно багато апаратних ресурсів.
Я знаю про компанію, яка використовує її в дуже великих масштабах, але це коштувало і дуже великої суми грошей (ліцензії низького рівня - це багато тисяч доларів).
Це робить і інші речі, ніж Нагіос. Splunk здається кращим для відстеження тенденцій або пошуку особливостей у довгострокових даних, а Nagios - краще для можливості негайної реакції.
Корпоративне видання дуже дороге, що є версією, яку ви використовували б у великих масштабах. Це причина, по якій ми його не використовували.
Я перевірив Splunk і виявив, що це дуже корисно для пошуку ADHOC. Однак я вже декілька років використовую LogLogic як MSSP, оскільки це рішення для пристроїв, яке налаштовано на обробку до 75 000 MPS, підтримує розподілену архітектуру, забезпечує вбудовану цілісність файлів MD5 Checksum (для криміналістики) і має багато індексні звіти, регулярні вирівнювальні та булеві фільтри пошуку, попередньо створені для більшості джерел журналу.