Ben splunk.com videoları izledim ve gerçekten tüm bu özellikleri ücretsiz alabilirsiniz inanmak zor, hala "yakalamak nerede?" kafamın arkasında.
Yani gerçekten Splunk'ı üretimde kullanan herhangi birinin deneyimlerini paylaşmak isteyip istemediğini, belki de onun Nagios?
Şimdiden çok teşekkürler.
Yanıtlar:
Günde 7 + GB veri için kullanıyoruz, ancak bunun için ödeme yapıyoruz. Çok. Akademik bir indirim aldığımızı düşünüyorum, ama çoğunlukla parayı harcamayı haklı kıldık çünkü denetçilerin günlüklerimize baktığı birisine / bir şeye sahip olmasından memnun kaldı.
Biz de nagios kullanın. Nagios'ları, nagios uyarıları üreten veya RT biletleri oluşturan komut dosyaları çağıran bazı kayıtlı aramalarla yapılandırdık . Bu nedenle, örneğin, 5 dakikalık bir zaman diliminde (tüm sunucular arasında) X üzeri oturum açma hataları bir uyarı oluşturur. Nagios'un kendi başına yapamayacağı şey budur.
Daha önce bu tür uyarıları oluşturmak için SEC kullanıyorduk , ama o da işe yaramadı ve birileri hala 20GB'lık bir dosyada grep'i kullanmayı denemek zorunda kaldı.
Artık herhangi bir nagios uyarısı oluşturduğumuzdan emin değilim; bunların hepsini olmasa da çoğunu RT bileti oluşturmaya değiştirdik. Nagios uyarı modeli, günlük analizine dayanan şeyler için gerçekten iyi çalışmaz, iyi veya kötü olabilecek bir durumdaki şeylerde daha iyi olur, araştırılması gerekebilecek ayrı bir olay değil.
DÜZENLE:
Evet, gerçekten bizim için hayatı daha kolay hale getiriyor. Günlükler arasında grep denemekten çok daha iyidir. Günlükleri gönderen Windows, Linux ve Solaris kutularımız var.
Bazı videoların ima ettiği gibi sihirli bir şekilde tam olarak ne istediğinizi bulur mu? Hayır, bazı sınırlamaları vardır ve belirli günlük türlerini iyi işlemesini sağlamak için biraz yapılandırma yapmanız gerekebilir. Ve aşırı "ilginç" aramalar, dokümanların okunmasını ve sonra splunk sunucusu dönerken birkaç dakika beklemenizi gerektirebilir. Ama cidden, sallanıyor. Gördüğüm kadarıyla, liginde gerçekten başka bir şey yok.
Hem Splunk hem de Nagios ile çalıştım ve iki farklı farka hizmet ediyorlar.
Splunk, günlükler arasında arama yapmayı çok daha basit ve kolay hale getirir. Sık karşılaşılan sorunlar için aramaların kaydedilmesi sorunların tanımlanmasında çok değerli olabilir. Ben farklı yerlerde 2 Splunk sunucuları var, hem fiyatlandırma aralık dışında olduğu için ücretsiz sürümü kullanıyor ve günlük endeksli miktar daha fazla satın almak için yeterli değildir.
Nagios ise harika bir aktif izleme platformu sağlıyor. Birden fazla coğrafi konumu izleyen 5 sunucu dağıtılmış Nagios platformum var. Günlük dosyalarını izleyen Splunk'tan çok farklıdır, Nagios'un hemen hemen her şeyi aktif olarak izlemek için yazılan servis kontrol eklentileri olabilir ve sorunları çözmenize izin verir.
İkisinin birlikte çok daha iyi bir görüntü verdiğini ve bir ağın korunmasına yardımcı olduğunu düşünüyorum. Özellikle bireysel bir çabaya karşı bir takımsa. İlgili herkes aynı resmi görebiliyor.
Günlük işleme yalnızca 500MB / gün'e kadar ücretsizdir. Test ettim ve 500MB / gün altında kalsanız bile, daha "gelişmiş" özelliklerin çoğunun gerçek bir lisans gerektirdiğini gördüm. Ayrıca, düzgün çalışması için birçok donanım kaynağı gerektirir.
Çok büyük ölçekte kullanan bir şirket biliyorum, ama çok büyük miktarda paraya mal oldu (düşük uç lisanslar binlerce dolar).
Nagios'tan da farklı şeyler yapar. Splunk, trendleri izlemek veya uzun vadeli verilerde tuhaflıklar aramak için daha iyi görünüyor ve Nagios hemen tepki vermek için daha iyi.
Kurumsal sürüm çok büyük maliyetlidir, bu da geniş ölçekli bir ortamda kullanacağınız sürümdür. Kullanmamamızın nedeni budur.
Splunk'u test ettim ve ADHOC aramaları için çok yararlı buldum. Bununla birlikte, LogLogic'i birkaç yıldır MSSP olarak kullandım çünkü 75.000 MPS'ye kadar çalışacak şekilde ayarlanmış bir cihaz çözümü, dağıtılmış bir mimariyi destekliyor, MD5 Checksum Dosya Bütünlüğü (adli tıp için) yerleşik ve çok sayıda çoğu günlük kaynağı için önceden oluşturulmuş dizin raporları, normal ifade ve boole arama filtreleri.