Pensieri su Free Splunk

Sto pensando di implementare Splunk nella mia azienda, ma sono diffidente riguardo agli investimenti finanziari. Ho notato che esiste una versione gratuita di Splunk che sembra essere abbastanza buona.

Qualcuno può dirmi se stai usando la versione gratuita della tua azienda? Trovi che la versione gratuita sia adeguata o solo un trampolino di lancio per l'eventuale acquisto?

Usiamo Splunk gratuito insieme a OSSEC su diversi clienti ed è perfettamente utilizzabile. Certo, ha alcune limitazioni rispetto alla versione non gratuita:

• Limite di 500 MB al giorno (con due o tre picchi consentiti al mese): se non generi così tanti dati, ciò non influirà su di te
• Autenticazione: Splunk gratuito non ce l'ha. Usiamo apache e http_auth per superare questa limitazione. Non è una soluzione perfetta ma abbastanza buona. Se sarai l'unico utente, puoi eseguirlo su localhost.
• Utenti diversi: gratuitamente Splunk ha un solo utente. Quindi non ottieni dashboard e personalizzazioni personalizzate. Ancora una volta, se siete tutti alla ricerca dello stesso e non vi interessa condividere o siete gli unici, non dovrebbero esserci problemi.

Nel complesso, Splunk gratuito (in particolare la versione 4) è un prodotto di per sé e può essere utilizzato nella produzione senza preoccupazioni, a meno che non ti occorrano le funzionalità aggiuntive della versione non gratuita.

Nel complesso, Splunk gratuito (in particolare la versione 4) è un prodotto di per sé e può essere utilizzato nella produzione senza preoccupazioni, a meno che non ti occorrano le funzionalità aggiuntive della versione non gratuita.

Se hai piccole quantità di dati da indicizzare, quanto sopra è vero.

Ciò che abbiamo scoperto è che se i tuoi dati rientrano nell'intervallo del limite, sei in PROBLEMI.

Abbiamo pensato: diamine, 500mb / giorno, è molto. Se lo superiamo, non è un grosso problema, saremo in grado di cercare solo 500 MB.

Sbagliato!

Secondo il sito di risposte splunk , se si raggiungono i limiti, la funzione di ricerca Splunk è disabilitata ... per DAYS alla volta.

Questo uccide efficacemente il tuo sistema splunk (se non riesci a cercare, l'intero sistema è utile quanto un sacco di sabbia).

"Se si supera il volume giornaliero concesso in licenza in un solo giorno di calendario, si riceverà un avviso di violazione. Il messaggio persiste per 14 giorni. Se si verificano 5 o più violazioni su una licenza Enterprise o 3 violazioni su una licenza gratuita in un periodo di 30 di un giorno, la ricerca verrà disabilitata Le funzionalità di ricerca torneranno quando si hanno meno di 5 violazioni (Enterprise) o 3 (gratuite) negli ultimi 30 giorni o quando si applica una nuova licenza con un limite di volume maggiore.

Nota: durante un periodo di violazione della licenza, Splunk non interrompe l'indicizzazione dei dati. Splunk blocca l'accesso solo quando superi la tua licenza.

Quindi, anche se si dispone di una licenza a pagamento, se si superano i limiti è possibile disabilitare efficacemente il sistema.

Non è nemmeno possibile modificare la password dell'amministratore predefinita con la licenza gratuita. Ciò significa che chiunque sulla rete può inviare dati all'indicizzatore / spedizioniere con l'amministratore predefinito: credenziali di modifica.

Pensaci.

Siamo un team di 12 persone in una grande azienda di media a Londra. Abbiamo una licenza aziendale superiore a 100 GB per l'intera azienda, ma il nostro team gestisce ancora un server separato con la versione gratuita. Questo ci consente una maggiore libertà di giocare con le configurazioni e l'indicizzazione di lotti "una tantum" di dati che altrimenti richiederebbero più tempo sul nostro sistema di produzione a causa dei diritti di accesso e dei controlli delle modifiche.

È una specie di ambiente di sviluppo / test per splunk ma abbiamo anche molte ricerche e dashboard che usiamo tutto il tempo che non desideriamo passare alla produzione. Quindi sì, la versione gratuita è utile.