Ho guardato i video su splunk.com ed è davvero difficile credere che si possano ottenere tutte quelle funzionalità gratuitamente, c'è ancora quel "dov'è il trucco?" nella parte posteriore della mia testa.
Quindi sarebbe bello se qualcuno che lo sta effettivamente usando Splunk in produzione vorrebbe condividere le proprie esperienze, magari mettendo in evidenza i suoi benefici rispetto, per esempio, a Nagios?
Grazie mille in anticipo.
Risposte:
Lo stiamo usando per 7 + GB di dati al giorno, ma paghiamo per quello. Un sacco. Penso che otteniamo un po 'di sconto accademico, ma soprattutto siamo riusciti a giustificare la spesa perché ha soddisfatto i revisori del fatto che qualcuno / qualcosa guardasse i nostri registri.
Usiamo anche nagios. Abbiamo configurato nagios con alcune ricerche salvate che richiamano script che generano avvisi nagios o creano ticket RT . Quindi, ad esempio, su X errori di accesso in una finestra temporale di 5 minuti (su tutti i server) genererà un avviso. Questo è il tipo di cose che i nagios non possono davvero fare da soli.
In precedenza utilizzavamo SEC per generare questo tipo di avvisi, ma non funzionava altrettanto bene e qualcuno doveva ancora provare a utilizzare grep su un file da 20 GB di tanto in tanto.
Non sono sicuro che siano stati generati avvisi di nagios; abbiamo passato la maggior parte, se non tutte, a generare biglietti RT. Il modello di avviso nagios non funziona davvero bene per cose basate sull'analisi dei registri, è meglio in cose con uno stato che può essere buono o cattivo, non un evento discreto che potrebbe essere necessario indagare.
MODIFICARE:
Sì, ci rende la vita molto più semplice. È sostanzialmente meglio che provare a passare attraverso i log. Abbiamo scatole Windows, Linux e Solaris che inviano i log.
Magicamente trova esattamente quello che vuoi come implicano alcuni video? No, ci sono alcune limitazioni e potresti dover fare un po 'di configurazione per farlo gestire bene tipi specifici di log. E ricerche troppo "interessanti" possono richiedere la lettura dei documenti e l'attesa di alcuni minuti mentre il server splunk agita. Ma, sul serio, oscilla. Da quello che ho visto, non c'è davvero nient'altro nella sua lega.
Ho lavorato con Splunk e Nagios e servono due differenze distinte.
Splunk rende la ricerca nei registri molto più semplice e facile da fare. Avere salvato ricerche per problemi comuni può essere prezioso per identificare i problemi. Ho 2 server Splunk in diverse località, entrambi utilizzano l'edizione gratuita in quanto il prezzo era fuori portata e l'importo indicizzato giornaliero non è sufficiente per richiedere l'acquisto di più.
Nagios, d'altra parte, costituisce un'ottima piattaforma di monitoraggio attiva. Ho una piattaforma Nagios distribuita su 5 server che monitora più posizioni geografiche. È molto diverso da Splunk che monitora i file di registro, Nagios può avere dei plugin di controllo del servizio scritti per monitorare quasi tutto attivamente e consentire di ricevere notifiche sui problemi in modo da poterli risolvere.
Trovo che i due insieme offrano un'immagine molto migliore e aiutano a mantenere una rete. Soprattutto se si tratta di una squadra contro uno sforzo individuale. Tutti i soggetti coinvolti sono in grado di vedere la stessa immagine.
È gratuito solo fino a 500 MB / giorno di elaborazione dei log. L'ho provato e anche se rimani sotto i 500 MB / giorno, ho scoperto che molte delle funzionalità più "avanzate" richiedono una vera licenza. Richiede anche molte risorse hardware per funzionare adeguatamente.
Conosco un'azienda che lo utilizza su larga scala, ma costa anche una somma molto elevata (le licenze di fascia bassa sono molte migliaia di dollari).
Fa anche cose diverse da Nagios. Splunk sembra migliore per tracciare le tendenze o cercare peculiarità nei dati a lungo termine e Nagios è meglio per essere in grado di reagire immediatamente.
La versione Enterprise è molto costosa, che è la versione che utilizzeresti in un ambiente di grandi dimensioni. Questo è il motivo per cui non l'abbiamo usato.
Ho testato Splunk e l'ho trovato molto utile per le ricerche ADHOC. Tuttavia, ho usato LogLogic ormai da diversi anni come MSSP perché è una soluzione di appliance ottimizzata per gestire fino a 75.000 MPS, supporta un'architettura distribuita, fornisce l'integrità del file Checksum MD5 integrata (per la medicina legale) e ha molti report indice, regex e filtri di ricerca booleani predefiniti per la maggior parte delle fonti di log.