Кто-нибудь использует Splunk в крупномасштабной производственной среде? [закрыто]

Я смотрел видео на сайте splunk.com, и действительно трудно поверить, что можно бесплатно получить все эти функции, но все-таки есть «где поймать?». в затылке.

Так было бы здорово, если бы кто-нибудь, кто на самом деле использовал его Splunk на производстве, хотел бы поделиться своим опытом, возможно, выделив его преимущества, скажем, Nagios?

Спасибо большое заблаговременно.

12 голосов | спросил 3 revs, 3 users 100%
Nano Taboada
1 Jam1000000amThu, 01 Jan 1970 03:00:00 +030070 1970, 03:00:00

6 ответов


12

Мы используем его для 7 + ГБ данных в день, но мы платим за это. Много. Я думаю, что мы получаем немного академическую скидку, но в основном нам удалось оправдать трата денег, потому что она удовлетворила аудиторов о том, что кто-то /что-то просматривает наши журналы.

Мы также используем nagios. Мы настроили nagios с сохраненными поисковыми запросами, которые вызывают скрипты, которые генерируют оповещения nagios или создают RT . Так, например, при неудачах входа в X в 5-минутном окне времени (на всех серверах) будет генерироваться предупреждение. Это то, что нагиос не может сделать сам по себе.

Раньше мы использовали SEC для создания таких предупреждений, но это не было Не работает, и кто-то еще должен был попробовать использовать grep в 20-Гбайт-файле время от времени.

Я не уверен, что у нас появились какие-либо предупреждения nagios; мы переключили большинство, если не все, на то, чтобы генерировать билеты RT. Модель оповещения nagios на самом деле не работает хорошо для материалов, основанных на анализе журнала, это лучше для вещей с состоянием, которое может быть хорошим или плохим, а не дискретным событием, которое может потребоваться для исследования.

EDIT:

Да, это действительно облегчает нам жизнь. Это существенно лучше, чем пытаться выполнить grep через журналы. У нас есть окна Windows, Linux и Solaris, отправляющие журналы.

Неужели волшебство находит именно то, что вы хотите, как некоторые из видео подразумевают? Нет, у него есть некоторые ограничения, и вам, возможно, придется немного поработать, чтобы хорошо обработать определенные типы журналов. И чрезмерно «интересные» поиски могут потребовать чтения через документы, а затем ждать несколько минут, пока всплески серверных сбоев. Но, серьезно, это потрясает. Из того, что я видел, в его лиге нет ничего другого.

ответил Loren Pechtel 5 Jpm1000000pmWed, 05 Jan 2011 21:25:41 +030011 2011, 21:25:41
4

Я работал как с Splunk, так и с Nagios, и они выполняют два разных отличия.

Splunk делает поиск в журналах намного проще и проще. Сохранение поисков общих проблем может оказаться неоценимым при определении проблем. У меня есть 2 Splunk-сервера в разных местах, они оба используют бесплатную версию, поскольку цена за пределами диапазона и ежедневная индексированная сумма недостаточна, чтобы требовать покупки больше.

Nagios, с другой стороны, делает большую активную платформу мониторинга. У меня 5 сервер распределенной платформы Nagios, контролирующей несколько географических местоположений. Это очень отличается от Splunk, который контролирует лог-файлы, Nagios может иметь плагины для проверки работоспособности, написанные для того, чтобы тщательно отслеживать что-либо, и позволять вам получать уведомления о проблемах, чтобы вы могли их разрешить.

Я считаю, что эти два вместе дают намного лучшую картину и помогают поддерживать сеть. Особенно, если это команда против индивидуальных усилий. Каждый вовлеченный человек может видеть ту же картину.

ответил Loren Pechtel 5 Jpm1000000pmWed, 05 Jan 2011 21:25:41 +030011 2011, 21:25:41
3

Это всего лишь до 500 МБ /день обработки журнала. Я тестировал его, и даже если вы остаетесь менее 500 МБ /день, я обнаружил, что многие из более «продвинутых» функций требуют реальной лицензии. Для этого также требуется много аппаратных ресурсов.

Я знаю компанию, использующую ее в очень больших масштабах, но она также очень дорого стоит (лицензии на низком уровне - много тысяч долларов).

Он делает разные вещи, кроме Nagios. Splunk выглядит лучше для отслеживания тенденций или поиска особенностей в долгосрочных данных, и Nagios лучше для того, чтобы быть в состоянии реагировать немедленно.

ответил Loren Pechtel 5 Jpm1000000pmWed, 05 Jan 2011 21:25:41 +030011 2011, 21:25:41
1

Корпоративная версия очень дорогостоящая, это версия, которую вы будете использовать в крупномасштабной среде. Вот почему мы не использовали его.

ответил Loren Pechtel 5 Jpm1000000pmWed, 05 Jan 2011 21:25:41 +030011 2011, 21:25:41
1

Splunk фактически не анализирует данные журнала, что затрудняет или невозможно создавать отчеты, охватывающие системы с различными форматами журналов. Это также делает невозможным фактическую корреляцию, поскольку нет согласованной таксономии, чтобы коррелировать с ней.

ответил Loren Pechtel 5 Jpm1000000pmWed, 05 Jan 2011 21:25:41 +030011 2011, 21:25:41
0

Я тестировал Splunk и нашел, что это очень полезно для поиска ADHOC. Тем не менее, я использовал LogLogic уже несколько лет в качестве MSSP, потому что это решение для устройства, которое настроено для обработки до 75 000 MPS, оно поддерживает распределенную архитектуру, обеспечивает встроенную целостность файла контрольной суммы MD5 (для судебной экспертизы) и имеет множество индексные отчеты, регулярные и логические фильтры поиска, предварительно созданные для большинства источников журналов.

ответил Loren Pechtel 5 Jpm1000000pmWed, 05 Jan 2011 21:25:41 +030011 2011, 21:25:41

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132