Tôi đã xem các video tại splunk.com và thực sự khó tin rằng người ta có thể nhận được tất cả các tính năng đó miễn phí, vẫn còn đó "bắt ở đâu?" ở phía sau đầu của tôi.
Vì vậy, thật tuyệt nếu bất cứ ai thực sự sử dụng nó Splunk khi sản xuất đều muốn chia sẻ kinh nghiệm của họ, có lẽ nêu bật lợi ích của nó hơn, nói, Nagios?
Cảm ơn nhiều trước.
Câu trả lời:
Chúng tôi đang sử dụng nó cho 7 + GB dữ liệu mỗi ngày, nhưng chúng tôi trả tiền cho điều đó. Rất nhiều. Tôi nghĩ rằng chúng tôi nhận được một chút giảm giá học tập, nhưng chủ yếu là chúng tôi quản lý để biện minh cho việc chi tiêu tiền vì nó làm hài lòng các kiểm toán viên về việc có ai đó / cái gì đó xem qua nhật ký của chúng tôi.
Chúng tôi cũng sử dụng nagios. Chúng tôi đã cấu hình nagios với một số tìm kiếm đã lưu gọi các tập lệnh tạo cảnh báo nagios hoặc tạo vé RT . Vì vậy, ví dụ, lỗi đăng nhập X trên cửa sổ thời gian 5 phút (trên tất cả các máy chủ) sẽ tạo ra một cảnh báo. Đó là điều mà nagios không thể tự mình làm được.
Trước đây chúng tôi đã sử dụng SEC để tạo ra các loại cảnh báo đó, nhưng nó cũng không hoạt động và ai đó vẫn phải cố gắng sử dụng grep trên tệp 20 GB ngay bây giờ.
Tôi không chắc chúng tôi có bất kỳ cảnh báo nagios nào được tạo nữa không; chúng tôi đã chuyển hầu hết, nếu không phải tất cả, để tạo ra vé RT. Mô hình cảnh báo nagios không thực sự hoạt động tốt cho các công cụ dựa trên phân tích nhật ký, nó tốt hơn ở những thứ có trạng thái tốt hoặc xấu, không phải là một sự kiện riêng biệt có thể cần điều tra.
BIÊN TẬP:
Vâng, nó thực sự làm cho cuộc sống của chúng ta dễ dàng hơn nhiều. Nó thực sự tốt hơn so với cố gắng grep qua nhật ký. Chúng tôi đã có các hộp Windows, Linux và Solaris gửi nhật ký.
Liệu nó có kỳ diệu tìm thấy chính xác những gì bạn muốn như một số video ngụ ý? Không, nó có một số hạn chế và bạn có thể phải thực hiện một chút cấu hình để xử lý tốt các loại nhật ký cụ thể. Và các tìm kiếm quá "thú vị" có thể yêu cầu đọc qua các tài liệu và sau đó chờ vài phút trong khi máy chủ bị hỏng. Nhưng, nghiêm túc, nó đá. Từ những gì tôi đã thấy, thực sự không có gì khác trong liên minh của nó.
Tôi đã làm việc với cả Splunk và Nagios và họ phục vụ hai sự khác biệt rõ rệt.
Splunk không làm cho việc tìm kiếm thông qua nhật ký đơn giản hơn và dễ thực hiện hơn. Có các tìm kiếm đã lưu cho các vấn đề phổ biến có thể là vô giá trong việc xác định các vấn đề. Tôi có 2 máy chủ Splunk ở các địa điểm khác nhau, cả hai đều sử dụng phiên bản miễn phí vì giá cả nằm ngoài phạm vi và số lượng được lập chỉ mục hàng ngày không đủ để yêu cầu mua thêm.
Nagios mặt khác làm cho một nền tảng giám sát hoạt động tuyệt vời. Tôi có 5 máy chủ phân phối nền tảng Nagios theo dõi nhiều vị trí địa lý. Nó rất khác so với Splunk giám sát các logfiles, Nagios có thể có các plugin kiểm tra dịch vụ được viết để giám sát mọi thứ một cách chủ động và cho phép bạn được thông báo về các vấn đề để bạn có thể giải quyết chúng.
Tôi thấy cả hai cùng nhau đưa ra một bức tranh tốt hơn nhiều và giúp ích trong việc duy trì mạng. Đặc biệt nếu đó là một đội so với một nỗ lực cá nhân. Mọi người tham gia đều có thể nhìn thấy bức tranh giống nhau.
Nó chỉ miễn phí tối đa 500MB / ngày xử lý nhật ký. Tôi đã thử nghiệm nó và ngay cả khi bạn ở dưới 500MB / ngày, tôi thấy rằng nhiều tính năng "nâng cao" hơn đòi hỏi phải có giấy phép thực sự. Nó cũng đòi hỏi nhiều tài nguyên phần cứng để hoạt động đầy đủ.
Tôi biết một công ty sử dụng nó với quy mô rất lớn, nhưng nó cũng tiêu tốn một số tiền rất lớn (giấy phép cấp thấp là hàng ngàn đô la).
Nó cũng làm những điều khác với Nagios. Splunk có vẻ tốt hơn để theo dõi các xu hướng hoặc tìm kiếm đặc thù trong dữ liệu dài hạn và Nagios tốt hơn để có thể phản ứng ngay lập tức.
Phiên bản doanh nghiệp rất rất tốn kém, đó là phiên bản bạn đang sử dụng trong môi trường quy mô lớn. Đây là lý do chúng tôi không sử dụng nó.
Tôi đã thử Splunk và thấy nó rất hữu ích cho các tìm kiếm ADHOC. Tuy nhiên, tôi đã sử dụng LogLogic vài năm nay với tư cách là MSSP vì đây là một giải pháp thiết bị được điều chỉnh để xử lý tới 75.000 MPS, nó hỗ trợ kiến trúc phân tán, cung cấp tính toàn vẹn Tệp kiểm tra MD5 (cho pháp y) và có nhiều báo cáo chỉ mục, bộ lọc tìm kiếm regex và boolean dựng sẵn cho hầu hết các nguồn nhật ký.