Suy nghĩ về Splunk miễn phí

Tôi đang xem xét triển khai Splunk tại công ty của tôi nhưng tôi không hài lòng về đầu tư tài chính. Tôi nhận thấy có một phiên bản Splunk miễn phí dường như đủ tốt.

Bất cứ ai có thể cho tôi biết nếu bạn đang sử dụng phiên bản miễn phí tại công ty của bạn? Bạn có thấy phiên bản miễn phí là đầy đủ, hoặc chỉ là bàn đạp cho việc mua hàng cuối cùng không?

Chúng tôi sử dụng Splunk miễn phí cùng với OSSEC cho một số khách hàng và hoàn toàn có thể sử dụng được. Tất nhiên, nó có một số hạn chế so với phiên bản không miễn phí:

• Giới hạn 500MB mỗi ngày (với hai hoặc ba đỉnh được phép mỗi tháng): Nếu bạn không tạo ra nhiều dữ liệu đó, điều này sẽ không ảnh hưởng đến bạn
• Xác thực: Splunk miễn phí không có nó. Chúng tôi sử dụng apache và http_auth để khắc phục hạn chế này. Nó không phải là một giải pháp hoàn hảo nhưng đủ tốt. Nếu bạn sẽ là người dùng duy nhất, bạn có thể chạy nó trên localhost.
• Người dùng khác nhau: Splunk miễn phí chỉ có một người dùng. Vì vậy, bạn không nhận được bảng điều khiển cá nhân và tùy chỉnh. Một lần nữa, nếu tất cả các bạn đang tìm kiếm giống nhau và không quan tâm đến việc chia sẻ hoặc bạn là người duy nhất, sẽ không có vấn đề gì.

Nhìn chung, Splunk miễn phí (đặc biệt là phiên bản 4) là một sản phẩm và có thể được sử dụng trong sản xuất mà không phải lo lắng, trừ khi bạn tình cờ cần các tính năng bổ sung của phiên bản không miễn phí.

Nhìn chung, Splunk miễn phí (đặc biệt là phiên bản 4) là một sản phẩm và có thể được sử dụng trong sản xuất mà không phải lo lắng, trừ khi bạn tình cờ cần các tính năng bổ sung của phiên bản không miễn phí.

Nếu bạn có một lượng nhỏ dữ liệu để lập chỉ mục, điều trên là đúng.

Những gì chúng tôi phát hiện ra là nếu dữ liệu của bạn nằm trong phạm vi giới hạn, bạn đang ở trạng thái XỬ LÝ.

Chúng tôi đã tìm ra: Heck, 500mb / ngày, đó là rất nhiều. Nếu chúng tôi vượt quá nó, không có vấn đề lớn, chúng tôi sẽ chỉ có thể tìm kiếm 500 mb của nó.

Sai lầm!

Theo trang web câu trả lời splunk , nếu bạn đạt đến giới hạn, tính năng Tìm kiếm Splunk sẽ bị tắt ... cho NGÀY tại một thời điểm.

Điều này sẽ giết chết hệ thống của bạn một cách hiệu quả (nếu bạn không thể tìm kiếm, toàn bộ hệ thống sẽ hữu ích như một bao cát).

"Nếu bạn vượt quá khối lượng hàng ngày được cấp phép của mình vào bất kỳ một ngày nào trong lịch, bạn sẽ nhận được cảnh báo vi phạm. Tin nhắn vẫn tồn tại trong 14 ngày. Nếu bạn có 5 lần vi phạm trở lên đối với giấy phép Doanh nghiệp hoặc 3 vi phạm đối với Giấy phép miễn phí trong vòng 30 Thời hạn trong ngày, tìm kiếm sẽ bị vô hiệu hóa. Khả năng tìm kiếm trở lại khi bạn có ít hơn 5 lỗi (Doanh nghiệp) hoặc 3 (Miễn phí) trong 30 ngày trước hoặc khi bạn áp dụng giấy phép mới với giới hạn âm lượng lớn hơn.

Lưu ý: Trong thời gian vi phạm giấy phép, Splunk không ngừng lập chỉ mục dữ liệu của bạn. Splunk chỉ chặn truy cập trong khi bạn vượt quá giấy phép của bạn.

Vì vậy, ngay cả khi bạn có giấy phép phải trả tiền, nếu bạn đạt đến giới hạn, bạn có thể vô hiệu hóa hệ thống một cách hiệu quả.

Bạn thậm chí không thể thay đổi mật khẩu quản trị viên mặc định bằng giấy phép miễn phí. Điều này có nghĩa là bất kỳ ai trên mạng đều có thể gửi dữ liệu tới người lập chỉ mục / chuyển tiếp với quản trị viên mặc định: thông tin thay đổi.

Nghĩ về điều đó.

Chúng tôi là một nhóm gồm 12 người trong một công ty truyền thông lớn ở London. Chúng tôi có toàn bộ giấy phép doanh nghiệp vượt quá 100 GB cho toàn bộ công ty nhưng nhóm của chúng tôi vẫn điều hành một máy chủ riêng biệt với phiên bản miễn phí. Điều này cho phép chúng tôi tự do hơn khi chơi với các cấu hình và lập chỉ mục các lô dữ liệu 'một lần' sẽ mất nhiều thời gian hơn trên hệ thống sản xuất của chúng tôi do quyền truy cập và kiểm soát thay đổi.

Đây là một môi trường dev / test dành cho splunk nhưng chúng tôi cũng có rất nhiều tìm kiếm và bảng điều khiển mà chúng tôi sử dụng tất cả thời gian mà chúng tôi không muốn chuyển sang sản xuất. Vì vậy, có, phiên bản miễn phí là hữu ích.