Кто-нибудь использует Splunk в крупномасштабной производственной среде?
Я смотрел видео на splunk.com, и действительно трудно поверить, что можно получить все эти функции бесплатно, но все же есть "где подвох?" в затылке.
Так что было бы замечательно, если бы кто-нибудь, кто на самом деле использует его Splunk на производстве, хотел бы поделиться своим опытом, возможно, подчеркнув его преимущества, скажем, над Nagios?
Большое спасибо заранее.
6 ответов
Мы используем его для 7+ ГБ данных в день, но мы платим за это. Много. Я думаю, что мы получаем небольшую академическую скидку, но в основном нам удалось оправдать трату денег, потому что это удовлетворило аудиторов тем, что кто-то / что-то просматривает наши журналы.
Мы также используем nagios. Мы настроили nagios с некоторыми сохраненными поисками, которые вызывают скрипты, которые либо генерируют предупреждения nagios, либо создают RT билеты. Так, например, из-за сбоев входа в систему через X в течение 5 минут (на всех серверах) будет генерироваться предупреждение. Это то, что нагиос не может сделать сам по себе.
Ранее мы использовали SEC для генерации таких предупреждений, но это не сработало, и кому-то все равно приходилось время от времени пытаться использовать grep для файла размером 20 ГБ.
Я не уверен, что у нас больше генерируются оповещения о nagios; мы переключили большую часть, если не все, на создание RT-билетов. Модель предупреждений nagios не очень хорошо работает для вещей, основанных на анализе логов, лучше для вещей с состоянием, которое может быть хорошим или плохим, а не отдельным событием, которое может потребовать расследования.
РЕДАКТИРОВАТЬ:
Да, это действительно облегчает нам жизнь. Это существенно лучше, чем пытаться просматривать журналы. У нас есть Windows, Linux и Solaris, отправляющие журналы.
Это волшебным образом находит именно то, что вы хотите, как подразумевается в некоторых видео? Нет, у него есть некоторые ограничения, и вам, возможно, придется немного настроить, чтобы он хорошо обрабатывал определенные типы журналов. Чрезмерно "интересные" поиски могут потребовать прочтения документов, а затем подождать несколько минут, пока взбалтывается сервер. Но, серьезно, это качается. Из того, что я видел, в его лиге больше ничего нет.
Я работал как со Splunk, так и с Nagios, и они служат двум разным отличиям.
Splunk делает поиск по журналам намного проще и проще. Сохранение поисков общих проблем может иметь неоценимое значение при выявлении проблем. У меня есть 2 сервера Splunk в разных местах, они оба используют бесплатную версию, так как цены вышли за пределы допустимого диапазона, а ежедневная индексированная сумма недостаточна, чтобы требовать дополнительных покупок.
Nagios, с другой стороны, делает его отличной платформой для активного мониторинга. У меня есть 5-ти распределенная платформа Nagios для мониторинга нескольких географических мест. Он сильно отличается от Splunk, который контролирует файлы журналов. Nagios может иметь плагины проверки сервиса, написанные для активного мониторинга чего угодно и позволяющие вам получать уведомления о проблемах и решать их.
Я считаю, что вместе они дают гораздо лучшую картину и помогают в поддержании сети. Особенно, если это команда против индивидуального усилия. Все участники могут видеть одну и ту же картинку.
Это бесплатно только до 500 МБ / день обработки журнала. Я проверил его, и даже если вы остаетесь ниже 500 МБ / день, я обнаружил, что для многих более "продвинутых" функций требуется настоящая лицензия. Это также требует много аппаратных ресурсов для адекватной работы.
Я знаю компанию, которая использует ее в очень больших масштабах, но это тоже стоит очень больших денег (лицензии на низкую цену стоят много тысяч долларов).
Он делает разные вещи, чем Nagios. Splunk кажется лучше для отслеживания тенденций или поиска особенностей в долгосрочных данных, а Nagios лучше для способности реагировать немедленно.
Корпоративная версия очень дорогая, и именно эту версию вы бы использовали в крупномасштабной среде. По этой причине мы не использовали его.
Splunk фактически не анализирует данные журналов, что затрудняет или делает невозможным создание отчетов, охватывающих системы с различными форматами журналов. Это также делает невозможным установление фактической корреляции, поскольку нет последовательной таксономии для сопоставления.
Я проверил Splunk и нашел его очень полезным для поиска ADHOC. Однако я уже несколько лет использую LogLogic в качестве MSSP, потому что это решение для устройств, которое настроено на обработку до 75 000 MPS, поддерживает распределенную архитектуру, обеспечивает встроенную целостность контрольной суммы MD5 (для криминалистики) и имеет множество индексные отчеты, регулярные выражения и логические поисковые фильтры, предварительно созданные для большинства источников журналов.