Я смотрел видео на splunk.com, и действительно трудно поверить, что можно получить все эти функции бесплатно, есть еще вопрос «где подвох?» в затылке.
Так что было бы здорово, если бы кто-нибудь, кто на самом деле использует Splunk в производстве, поделился бы своим опытом, возможно, подчеркнув его преимущества перед, скажем, Nagios?
Заранее большое спасибо.
Мы используем его для 7 + ГБ данных в день, но мы платим за это. Много. Я думаю, что мы получаем небольшую академическую скидку, но в основном нам удавалось оправдать трату денег, потому что аудиторам нравилось, что кто-то / что-то просматривает наши журналы.
Мы также используйте нагиос. Мы настроили nagios с некоторыми сохраненными поисками, которые вызывают сценарии, которые либо генерируют оповещения nagios, либо создают RT Билеты. Так, например, более X неудачных попыток входа в систему в 5-минутном временном окне (на всех серверах) вызовет предупреждение. Это то, что нагиос не может делать сам по себе.
Раньше мы использовали SEC для генерации таких предупреждений, но это тоже не сработало, и кому-то все равно приходилось время от времени пытаться использовать grep для файла размером 20 ГБ.
Я не уверен, что у нас больше генерируются предупреждения nagios; мы переключили большую часть, если не все, на создание RT-билетов. Модель предупреждений nagios не очень хорошо работает для вещей, основанных на анализе журналов, она лучше работает с вещами, состояние которых может быть хорошим или плохим, а не отдельным событием, которое может потребовать изучения.
РЕДАКТИРОВАТЬ:
Да, это действительно делает нам жизнь намного проще. Это существенно лучше, чем пытаться просмотреть журналы с помощью grep. У нас есть Windows, Linux и Solaris, которые отправляют журналы.
Он волшебным образом находит именно то, что вы хотите, как предполагают некоторые из видео? Нет, у него есть некоторые ограничения, и вам, возможно, придется немного настроить, чтобы он хорошо обрабатывал определенные типы журналов. А для чрезмерно "интересных" поисков может потребоваться прочитать документацию, а затем подождать несколько минут, пока сервер splunk запустится. Но, если серьезно, это круто. Судя по тому, что я видел, в этой лиге больше ничего нет.
Я работал как со Splunk, так и с Nagios, и у них есть два отличия.
Splunk действительно делает поиск в журналах намного проще и проще. Сохранение результатов поиска общих проблем может иметь неоценимое значение для выявления проблем. У меня есть 2 сервера Splunk в разных местах, они оба используют бесплатную версию, так как цены выходили за пределы допустимого диапазона, а ежедневной индексируемой суммы недостаточно, чтобы требовать покупки дополнительных.
Nagios, с другой стороны, является отличной платформой для активного мониторинга. У меня есть распределенная платформа Nagios из 5 серверов, отслеживающая несколько географических местоположений. Он сильно отличается от Splunk, который отслеживает файлы журналов, Nagios может иметь плагины для проверки служб, написанные для активного мониторинга практически всего и позволяющих вам получать уведомления о проблемах, чтобы вы могли их решать.
Я считаю, что вместе они дают гораздо лучшую картину и действительно помогают в поддержании сети. Особенно, если это команда, а не индивидуальные усилия. Все участники могут увидеть одну и ту же картину.
Это бесплатно только до 500 МБ / день обработки журнала. Я протестировал его, и даже если вы остаетесь менее 500 МБ в день, я обнаружил, что многие из более «продвинутых» функций требуют реальной лицензии. Для нормальной работы также требуется много аппаратных ресурсов.
Я знаю компанию, использующую его в очень больших масштабах, но это тоже стоит очень больших денег (лицензии на низкую стоимость стоят многие тысячи долларов).
Он также делает разные вещи, чем Nagios. Splunk, кажется, лучше подходит для отслеживания тенденций или поиска особенностей в долгосрочных данных, а Nagios лучше для того, чтобы иметь возможность немедленно реагировать.
Корпоративная версия очень дорогая, и именно такую версию вы будете использовать в крупномасштабной среде. По этой причине мы его не использовали.
Splunk фактически не анализирует данные журнала, что затрудняет или делает невозможным создание отчетов, охватывающих системы с различными форматами журналов. Это также делает невозможным фактическую корреляцию, поскольку нет последовательной таксономии, с которой можно было бы коррелировать.
Я протестировал Splunk и обнаружил, что он очень полезен для поиска ADHOC. Однако я уже несколько лет использую LogLogic в качестве MSSP, потому что это решение для устройства, настроенное на обработку до 75000 MPS, оно поддерживает распределенную архитектуру, обеспечивает встроенную целостность файла контрольной суммы MD5 (для криминалистики) и имеет множество отчеты по индексам, регулярные выражения и логические фильтры поиска, предварительно созданные для большинства источников журналов.