Lo stiamo usando per 7 + GB di dati al giorno, ma paghiamo per quello. Un sacco. Penso che otteniamo un po 'di sconto accademico, ma soprattutto siamo riusciti a giustificare la spesa perché ha soddisfatto i revisori del fatto che qualcuno / qualcosa guardasse i nostri registri.
Usiamo anche nagios. Abbiamo configurato nagios con alcune ricerche salvate che richiamano script che generano avvisi nagios o creano ticket RT . Quindi, ad esempio, su X errori di accesso in una finestra temporale di 5 minuti (su tutti i server) genererà un avviso. Questo è il tipo di cose che i nagios non possono davvero fare da soli.
In precedenza utilizzavamo SEC per generare questo tipo di avvisi, ma non funzionava altrettanto bene e qualcuno doveva ancora provare a utilizzare grep su un file da 20 GB di tanto in tanto.
Non sono sicuro che siano stati generati avvisi di nagios; abbiamo passato la maggior parte, se non tutte, a generare biglietti RT. Il modello di avviso nagios non funziona davvero bene per cose basate sull'analisi dei registri, è meglio in cose con uno stato che può essere buono o cattivo, non un evento discreto che potrebbe essere necessario indagare.
MODIFICARE:
Sì, ci rende la vita molto più semplice. È sostanzialmente meglio che provare a passare attraverso i log. Abbiamo scatole Windows, Linux e Solaris che inviano i log.
Magicamente trova esattamente quello che vuoi come implicano alcuni video? No, ci sono alcune limitazioni e potresti dover fare un po 'di configurazione per farlo gestire bene tipi specifici di log. E ricerche troppo "interessanti" possono richiedere la lettura dei documenti e l'attesa di alcuni minuti mentre il server splunk agita. Ma, sul serio, oscilla. Da quello che ho visto, non c'è davvero nient'altro nella sua lega.