Я подумываю о внедрении Splunk в своей компании, но с подозрением отношусь к финансовым вложениям. Я заметил, что есть бесплатная версия Splunk, которая кажется достаточно хорошей.
Может ли кто-нибудь сказать мне, используете ли вы бесплатную версию в своей компании? Считаете ли вы бесплатную версию адекватной или просто трамплином для возможной покупки?
Мы используем бесплатный Splunk вместе с OSSEC на нескольких клиентов, и это прекрасно. Конечно, у него есть некоторые ограничения по сравнению с платной версией:
В целом, бесплатный Splunk (особенно версия 4) является продуктом сам по себе и может без проблем использоваться в производственной среде, если только вам не понадобятся дополнительные функции платной версии.
В целом, бесплатный Splunk (особенно версия 4) является продуктом сам по себе и может без проблем использоваться в производственной среде, если только вам не понадобятся дополнительные функции платной версии.
Если у вас есть небольшие объемы данных для индексации, вышесказанное верно.
Мы выяснили, что если ваши данные находятся в пределах лимита, у вас АВАРИЯ.
Мы посчитали: черт возьми, 500 МБ / день, это много. Если мы его превысим, ничего страшного, мы сможем найти только 500 МБ.
Неправильно!
В соответствии с сайт ответов splunk, если вы достигнете предела, функция Splunk Search будет отключена ... на ДНЕЙ за раз.
Это эффективно УБИВАЕТ вашу систему splunk (если вы не можете искать, вся система примерно так же полезна, как мешок с песком).
"Если вы превысите свой лицензированный ежедневный объем в любой один календарный день, вы получите предупреждение о нарушении. Сообщение будет отображаться в течение 14 дней. Если у вас есть 5 или более нарушений по лицензии Enterprise или 3 нарушения по бесплатной лицензии из 30 -дневный период, поиск будет отключен. Возможности поиска вернутся, если у вас будет менее 5 (Enterprise) или 3 (Free) нарушений за последние 30 дней или когда вы примените новую лицензию с большим пределом объема.
Примечание. В период нарушения лицензии Splunk не прекращает индексировать ваши данные. Splunk блокирует доступ только тогда, когда вы превышаете лицензию.
Таким образом, даже если у вас есть платная лицензия, если вы достигнете пределов, вы можете эффективно отключить систему.
Вы даже не можете изменить пароль администратора по умолчанию с бесплатной лицензией. Это означает, что любой пользователь сети может отправлять данные в индексатор / сервер пересылки с учетными данными admin: changeme по умолчанию.
Подумай об этом.
Мы - команда из 12 человек в большой медиакомпании в Лондоне. У нас есть корпоративная лицензия объемом более 100 ГБ для компании в целом, но наша команда по-прежнему использует отдельный сервер с бесплатной версией. Это дает нам больше свободы для работы с конфигурациями и индексации «разовых» пакетов данных, которые в противном случае заняли бы больше времени в нашей производственной системе из-за прав доступа и контроля изменений.
Это своего рода среда разработки / тестирования для splunk, но у нас также есть много поисковых и дашбордов, которые мы используем все время, и у нас нет желания переходить на продакшн. Так что да, бесплатная версия полезна.