Saya sudah menonton video di splunk.com dan sungguh sulit untuk percaya bahwa seseorang bisa mendapatkan semua fitur itu secara gratis, masih ada "di mana masalahnya?" di belakang kepalaku.
Jadi alangkah baiknya jika ada orang yang benar-benar menggunakannya Splunk on production ingin berbagi pengalaman mereka, mungkin menyoroti manfaatnya, katakanlah, Nagios?
Terima kasih banyak sebelumnya.
Jawaban:
Kami menggunakannya untuk 7 + GB data per hari, tetapi kami membayar untuk itu. Banyak. Saya pikir kami mendapat sedikit diskon akademik, tetapi kebanyakan kami berhasil membenarkan pengeluaran uang karena memuaskan auditor tentang memiliki seseorang / sesuatu yang melihat log kami.
Kami juga menggunakan nagios. Kami telah mengkonfigurasi nagios dengan beberapa pencarian tersimpan yang memanggil skrip yang menghasilkan peringatan nagios atau membuat tiket RT . Jadi, misalnya, lebih dari kegagalan login X dalam waktu 5 menit (di semua server) akan menghasilkan peringatan. Itulah hal yang tidak bisa dilakukan nagios sendiri.
Sebelumnya kami menggunakan SEC untuk menghasilkan lansiran semacam itu, tetapi tidak berhasil juga dan seseorang masih harus mencoba menggunakan grep pada file 20GB sekarang dan kemudian.
Saya tidak yakin kami memiliki lansiran nagios yang dihasilkan lagi; kami telah mengubah sebagian besar, jika tidak semua, dari itu untuk menghasilkan tiket RT. Model peringatan nagios tidak benar-benar bekerja dengan baik untuk hal-hal berdasarkan analisis log, lebih baik pada hal-hal dengan keadaan yang bisa baik atau buruk, bukan peristiwa terpisah yang mungkin perlu diselidiki.
EDIT:
Ya, itu benar-benar membuat hidup jauh lebih mudah bagi kita. Ini jauh lebih baik daripada mencoba untuk memeriksa log. Kami punya kotak Windows, Linux, dan Solaris yang mengirimkan log.
Apakah secara ajaib menemukan persis apa yang Anda inginkan dari beberapa video menyiratkan? Tidak, ada beberapa batasan dan Anda mungkin harus melakukan sedikit konfigurasi agar dapat menangani jenis log tertentu dengan baik. Dan pencarian yang terlalu "menarik" dapat memerlukan membaca dokumen dan kemudian menunggu beberapa menit saat server splitter berputar. Tapi, serius, itu batu. Dari apa yang saya lihat, benar-benar tidak ada yang lain di liga.
Saya telah bekerja dengan Splunk dan Nagios dan keduanya memiliki dua perbedaan.
Splunk membuat pencarian melalui log jauh lebih sederhana dan lebih mudah dilakukan. Setelah menyimpan pencarian untuk masalah umum dapat sangat berharga dalam mengidentifikasi masalah. Saya memiliki 2 server Splunk di lokasi yang berbeda, keduanya menggunakan edisi gratis karena harganya di luar jangkauan dan jumlah harian yang diindeks tidak cukup untuk memerlukan pembelian lebih banyak.
Nagios di sisi lain membuat platform pemantauan aktif yang hebat. Saya memiliki 5 server yang didistribusikan platform Nagios yang memantau beberapa lokasi geografis. Ini sangat berbeda dari Splunk yang memantau file log, Nagios dapat memiliki plugins layanan cek ditulis untuk memantau apa saja yang aktif dan memungkinkan Anda diberitahu tentang masalah sehingga Anda dapat menyelesaikannya.
Saya menemukan keduanya bersama-sama memberikan gambaran yang jauh lebih baik dan tidak membantu dalam mempertahankan jaringan. Terutama jika itu adalah tim versus upaya individu. Setiap orang yang terlibat dapat melihat gambar yang sama.
Ini hanya gratis hingga 500MB / hari pemrosesan log. Saya mengujinya dan bahkan jika Anda tetap di bawah 500MB / hari, saya menemukan bahwa banyak fitur yang lebih "canggih" memerlukan lisensi nyata. Ini juga membutuhkan banyak sumber daya perangkat keras untuk bekerja secara memadai.
Saya tahu sebuah perusahaan menggunakannya dalam skala yang sangat besar, tetapi biayanya juga sangat besar (lisensi low-end ribuan dolar).
Itu melakukan hal yang berbeda dari nagios juga. Splunk tampaknya lebih baik untuk melacak tren atau mencari kekhasan dalam data jangka panjang dan Nagios lebih baik karena dapat langsung bereaksi.
Edisi enterprise sangat mahal, yaitu versi yang akan Anda gunakan dalam lingkungan berskala besar. Inilah alasan kami belum menggunakannya.
Saya telah menguji Splunk dan ternyata sangat berguna untuk pencarian ADHOC. Namun, saya telah menggunakan LogLogic sekarang selama beberapa tahun sebagai MSSP karena merupakan solusi alat yang disetel untuk menangani sebanyak 75.000 MPS, mendukung arsitektur terdistribusi, menyediakan built in MD5 Checksum File Integrity (for forensics) dan memiliki banyak laporan indeks, regex dan filter pencarian boolean prebuilt untuk sebagian besar sumber log.