Vraag Alternatieven voor Splunk?


Ik ben behoorlijk onder de indruk van Splunk, in het bijzonder versie 4. Mooie grafieken, waarschuwingen (alleen Enterprise) en snel, nauwkeurig, zoeken. Het is een geweldig product.

De kosten zijn echter gewoon te hoog om te overwegen voor volledige productie voor ons bedrijf. Het enige dat we echt nodig hebben, is dat we verschillende logs op een centrale plek kunnen indexeren en daar redelijk op kunnen zoeken. Het hebben van waarschuwingen op basis van een opgeslagen zoekopdracht is ook erg leuk. We gaan niet verder dan dat.

Sterker nog, ons grootste gebruik was het inzetten van nieuwe applicaties. Alles wordt via log4net vastgelegd in het gebeurtenislogboek op Windows of in een tekstbestand op Linux. Met Splunk is het vrij eenvoudig om snel die te doorzoeken om er zeker van te zijn dat alle onderdelen van de app goed werken - dat heeft ons heel veel tijd uitgespaard in plaats van individuele logboekbronnen op te sporen.

Welke alternatieven zijn er op deze markt? Ik heb een zinkend gevoel. Splunk's prijzen zijn zo hoog omdat ze verreweg het beste product hebben en ze weten het. We willen dat de server op Windows draait.

Ik sta open voor een split-model, gebruik een product voor algemene logs (verzamel via syslog / Snare) en een speciaal product voor onze aangepaste apps (zoals Log4Net Dashboard).

Zou het werken met een eenvoudige syslog-server zoals Kiwi, verzonden naar SQL Server (misschien met volledige tekst ingeschakeld) werken?

Ik zou hopen dat de kosten ruim onder de 5 cijfers, USD zouden moeten zijn. (En ja, ik weet het, we zijn goedkoop, we zijn een startup met weinig geld, en BizSpark zorgt voor al onze MS-licenties.)

Bewerken: ik zou moeten toevoegen, we hebben ongeveer 10 fysieke servers, 20 VM's en een paar firewalls en switches. 90% is Windows.


76
2017-09-05 11:14


oorsprong


Zie ook deze SO post: stackoverflow.com/questions/183977/... - warren
Wat dekt BizSpark? System Center-serie lijkt de normale Windows-monitoringroute, met name Operations Manager ... - Oskar Duveborn
Wat is Splunk prijzen, hoe dan ook? Ik heb het niet gezien op hun website ...? - Peter Mounce
Splunk prijzen zijn gevaarlijk! Het indexeren van 5 gb / dag aan gegevens is meer dan $ 30K voor een eeuwigdurende licentie. (Pas op voor elk bedrijf dat de prijs niet op hun website plaatst!) - samsmith


antwoorden:


Opmerking: dit heeft alles te maken met Linux en gratis software, want dat is wat ik meestal gebruik, maar je zou wel goed moeten zijn met een syslog-client op Windows om de logs naar een Linux syslog-server te sturen.

Loggen naar een SQL-server: Met slechts ~ 30 machines zou het goed moeten zijn met vrijwel elke gecentraliseerde syslog-achtige en een SQL-backend. ik gebruik syslog-ng en MySQL op Linux voor dit ding.

Mooie frontends voor grafische weergave is het grootste probleem - het lijkt erop dat er veel gehackte front-ends zijn die items uit de logs pakken en laten zien hoeveel hits, waarschuwingen enz. maar ik heb niets geïntegreerd en schoon gevonden. Toegegeven, dit is het belangrijkste waar je naar op zoek bent ... (Als ik iets goeds vind, dan zal ik deze sectie bijwerken!)

alerting: Ik gebruik SEC op een Linux-server om slechte dingen in de logboeken te vinden en mij op verschillende manieren te waarschuwen. Het is ongelooflijk flexibel en niet zo clicky als Splunk. er is een leuke tutorial hier die door veel van de mogelijke functies leidt.

Ik gebruik ook Nagios voor grafieken van verschillende statistieken en een aantal waarschuwingen die ik niet krijg van de logboeken (zoals wanneer de services zijn down etc). Dit kan eenvoudig worden aangepast om grafieken toe te voegen van alles wat u maar wilt. Ik heb grafieken van items toegevoegd, zoals het aantal hits dat naar een http-server is gemaakt, door de agent te laten gebruiken check_logfiles plugin om het aantal hits in de logs te tellen (het slaat de positie op die het voor elke controleperiode oploopt).

Over het geheel genomen het hangt af van hoeveel uw tijd kost om dit op te zetten, omdat er veel opties zijn die je kunt gebruiken, maar ze zijn niet zo geïntegreerd als Splunk en zullen waarschijnlijk meer inspanning vergen om te doen wat je wilt. De Nagios-grafieken zijn eenvoudig in te stellen, maar geven je geen historische gegevens van voordat je de grafiek toevoegt, terwijl je met Splunk (en vermoedelijk andere front-ends) terug kunt kijken naar de eerdere logboeken en grafieken van dingen die je nog maar net hebt gedacht om van hen te kijken.

Merk ook op dat de SQL-database-indeling en -indexering een reusachtig effect op de snelheid van zoekopdrachten, dus uw idee van indexering van de volledige tekst zal de zoeksnelheid aanzienlijk verhogen. Ik weet niet zeker of MySQL of PostgreSQL iets soortgelijks zullen doen.

Bewerk : MySQL doet fulltext-indexering, maar  alleen op MyISAM-tabellen voorafgaand aan MySQL 5.6. In 5.6 is ondersteuning toegevoegd voor InnoDB.

Bewerk: Postgresql kan de volledige tekst van de cursus doen: http://www.postgresql.org/docs/9.0/static/textsearch.html


30
2017-09-08 11:01





Meer gericht op * nix dan windows, maar octopussy ondersteunt ramen, en lijkt op hetzelfde soort dingen te richten als splunk.


7
2017-09-08 11:25



De link is verbroken. Zou je het alsjeblieft kunnen repareren? - Martijn Heemels
Link lijkt hier te werken. - 3dinfluence
Ik heb het bewerkt. Hoewel, het was niet bepaald moeilijk om de juiste link te achterhalen. - Cian
Ja ... ik ga geen website bezoeken met 8pussy in de domeinnaam op het werk - Mark Henderson♦


Ik ben druk bezig met het uitproberen van een aantal monitoringoplossingen - maar ik wil voornamelijk vensters bewaken. De meeste systemen zijn gericht op SNMP-bewaking, die erin slaagt een opmerkelijke hoeveelheid informatie zonder agents te achterhalen.

Dit zijn enkele van de systemen die ik tot nu toe heb geprobeerd:

Nagios - Open source. Een varken om te configureren, maar hoog gewaardeerd en lijkt erg flexibel. Het lijkt in wezen een tegenrecorder te zijn en staat geen uitvoering van externe scripts toe en kan daarom niet worden gebruikt om configuratieproblemen op te lossen, zoals MS System Center of Kaseya. Agentless maar is in wezen nutteloos zonder dat de NSclient-tool op elke client is geïnstalleerd.

Cacti - Mooie en rechtlijnige grafische tool op basis van snmp-statistieken. Agentless.

OpsView - Gebaseerd op Nagios, maar eenvoudiger te configureren en heeft een betere voorkant.

HypericHQ - Eenvoudig aan de slag te gaan onder Windows. De basisversie is gratis en doet veel. Er is een commerciële HypericHQ-onderneming. Agent moet op elke client worden geïnstalleerd.

Zabbix - Nog een mooie monitoringtool. Het is gemakkelijker te gebruiken dan nagios. Heeft een agent die u kunt installeren op Windows en op clientcomputers. Ik heb deze tot nu toe alleen een beetje onderzocht.

Zenoss - Open source. Ik ben erg onder de indruk van hoe professioneel Zenoss is. Het is een op SNMP gebaseerd beeldscherm en heeft heel veel uitbreidingen om het monitoren van HP proliants, windows-services, ms sql-server, mysql, mogelijk te maken. De extensies werken allemaal via SNMP, dus er hoeft niets op de client-machines te worden geïnstalleerd. Ik heb het nog niet allemaal onderzocht en er lijkt veel functionaliteit te zijn die ik nog moet exploiteren. Het is gebaseerd op Zope, dus tenzij je op de hoogte bent van Zope-installaties, raad ik aan om de vooraf voorbereide VM te downloaden - het werkt als een droom, rechtstreeks uit de doos.

Op commercieel gebied zou je een paar tools kunnen bekijken:

Kaseya - kost ongeveer 6k per jaar voor 250 knooppunten, als ik het me goed herinner, maar het is een uitstekende tool en heeft een zeer actieve gebruikersgemeenschap. Het is gericht op de MSP-markt en maakt monitoring van systemen van meerdere bedrijven mogelijk. Het kan zonder problemen intern worden gebruikt.

GFI Hounddog - eenvoudiger dan Kaseya, maar op dit moment erg goedkoop. Absoluut een kijkje waard.

Er zijn een aantal oplossingen die als MSP-systemen worden verkocht, maar die in feite monitors + remote admin gecombineerd zijn.

Ian


6
2017-09-30 09:40





Voor gecentraliseerde syslogging met veel geweldige functies kan ik het niet helpen, maar aanbevelen rsyslog genoeg. Het is een open source syslog-server die met plezier kan werken als een vervanger voor de reguliere syslogd die je kent en waar je van houdt. Het is nu de syslog daemon van keuze voor Ubuntu en ik denk dat Red Hat & Fedora ook dat pad kunnen verlaten. Ik heb gemerkt dat het een stuk eenvoudiger is om aan de slag te gaan en te doen wat je wilt dat syslog-ng is.

Momenteel hebben we in onze winkel twee centrale rsyslog-servers (een op elke site) die logboeken ontvangt voor honderden servers. Ik heb automatische e-mailmeldingen wanneer iets in syslog een waarschuwing of hoger activeert (met wat aanpassingen natuurlijk, sommige apps zijn een beetje alarmerend). Ik zou waarschijnlijk wat meer slimmeriken kunnen doen, zoals het verzenden van spullen naar Nagios of zo, maar het behandelt ons genoeg voor onze behoeften voor nu.

Dit gaat ook allemaal in een mysql-database (er is ook ondersteuning voor Oracle of postgresql als dat is hoe je rolt).

Er is ook een web frontend en een windows agent voor het verzenden van Eventlog-logboeken naar de rsyslog-server. De web-frontend is duidelijk niet zo glad als splunk, maar hij krijgt de klus voor $ 0.


6
2018-05-27 14:44





Kijk eens naar http://www.codeplex.com/polymon

De open source, gebruikt SQL Server op backend en heeft een mooie gebruikersinterface


2
2017-09-08 10:23



Dat lijkt meer op een monitoringoplossing, zoals Nagios? - MichaelGG


Ik ben het ermee eens dat Splunk geweldig is. Voor kleine, overwegend Linux-omgevingen kan je echter naar iets als kijken epylog.

We gebruikten het op een van de plaatsen waar ik werkte, en het was geweldig voor wat we wilden.

Weet niet zeker hoe goed Windows-syslog-berichten worden afgehandeld die naar een syslog-verzamelaar van Linux worden verzonden, maar het is het proberen waard.


2
2017-09-08 10:18





Gewoon koppelen aan mijn antwoord anders waar:

Splunk is fantastisch duur: wat zijn de alternatieven?

Bewerken (nieuwe projecten):

De LogStash en Graylog2 projecten zien er erg interessant uit

Hier zijn een paar video's: een  twee.


2
2018-03-03 03:09



beter om je antwoord van de andere vraag hier te zetten, omdat die een voor de hand liggend duplicaat is van deze en zou moeten worden samengevoegd / gesloten :) - warren


Zoiets als GFI EventsManager zou het kunnen doen voor ongeveer $ 4k.

  • Analyse van gebeurtenislogboeken met inbegrip van SNMP-traps, Windows-gebeurtenislogboeken, W3C-logboeken en Syslog
  • Real-time waarschuwingen, waarschuwingen voor SNMPv2-traps inbegrepen
  • Bekijk rapporten over belangrijke beveiligingsinformatie die nu plaatsvindt
  • Gecentraliseerde gebeurtenisregistratie
  • Verwijder "ruis" of triviale gebeurtenissen die een groot deel van alle beveiliging uitmaken events
  • Realtime bewaking en waarschuwing van 24 x 7 x 365 dagen
  • Grafisch de status van GFI EventsManager en uw netwerk monitoren via de ingebouwde statusmonitor
  • Ondersteuning voor virtuele omgevingen

1
2017-09-08 10:49





Als u op zoek bent naar een SysLog-vervanging, wilt u misschien ook een commerciële syslog / rsyslog-vervanging overwegen, zoals LogLogic, http://loglogic.com. Wij (waar ik werk) hebben een complete logging-, opslag- en rapportageset van apparatuur. In essentie is het de mogelijkheid om 100.000 berichten per seconde te verzamelen, pijnlijk en te indexeren zodat zoekopdrachten kunnen worden gedaan.


1
2017-07-08 21:15



Ik zag onlangs een LogLogic-demo. Zeer indrukwekkend spul. - Tom O'Connor
Vraag een demo van LogLogic 5, wat nog beter is. - BillRoth


Je kunt logscape van liquidlabs proberen - erg vergelijkbaar met splunk maar heeft ook een paar verschillende functies .... http://www.liquidlabs-cloud.com/products/logscape.html


0
2017-09-17 20:40