Вопрос: Альтернативы Splunk?


Я очень впечатлен Splunk, особенно версия 4. Довольно графы, оповещение (только для предприятий) и быстрый, точный поиск. Это отличный продукт.

Тем не менее, стоимость просто слишком высока, чтобы рассмотреть возможность полного производства для нашей компании. Нам действительно нужно иметь возможность индексировать различные журналы в центральном месте и иметь разумный поиск по этому вопросу. Наличие предупреждений на основе сохраненного поиска также очень приятно. Мы действительно не выходим за рамки этого.

Фактически, наше самое большое использование было в развертывании новых приложений. Все регистрируется через log4net либо в журнале событий в Windows, либо в текстовом файле в Linux. Splunk упрощает быстрый поиск по ним, чтобы убедиться, что все части приложения работают нормально - это спасло нам массу времени против поиска отдельных источников регистрации.

Какие альтернативы существуют на этом рынке? Я чувствую, что цена Splunk настолько высока, что у них самый лучший продукт, и они это знают. Мы хотим, чтобы сервер работал в Windows.

Я был бы открыт для разделенной модели, используя один продукт для общих журналов (собирать через syslog / Snare) и специальный продукт для наших пользовательских приложений (например, Панель инструментов Log4Net).

Будет ли работать простой сервер syslog, такой как Kiwi, отправленный на SQL Server (возможно, с полнотекстовым включением)?

Я надеюсь, что стоимость должна быть ниже 5 цифр, USD. (И да, я знаю, мы дешевы. Мы стартап с небольшими деньгами, а BizSpark заботится обо всех наших лицензиях MS.)

Изменить: я должен добавить, у нас около 10 физических серверов, 20 виртуальных машин и несколько брандмауэров и коммутаторов. 90% - Windows.


76
2017-09-05 11:14


Источник


См. Также эту публикацию SO: stackoverflow.com/questions/183977/... - warren
Что покрывает BizSpark? Серия System Center выглядит как обычный трафик мониторинга Windows, в частности Operations Manager ... - Oskar Duveborn
Какие является В общем, цена на Splunk? Я не видел его на своем сайте ...? - Peter Mounce
Осколки цензуры опасны! Для индексирования 5 гб / день данных более 30 тыс. Долларов США для бессрочной лицензии. (Остерегайтесь любой компании, которая не публикует цены на своем веб-сайте!) - samsmith


Ответы:


Примечание: все это касается Linux и бесплатно программное обеспечение, так как это то, что я использую в основном, но вы должны быть в порядке с клиентом syslog в Windows для отправки журналов на сервер syslog Linux.

Вход на SQL-сервер: Только с ~ 30 машинами, вы должны быть в порядке со значительной частью централизованного syslog-подобного и SQL-сервера. я использую Syslog-нг и MySQL для Linux именно для этого.

Довольно интерфейсы для графической обработки основная проблема. Кажется, что есть много взломанных интерфейсов, которые будут захватывать элементы из журналов и показывать, сколько хитов, предупреждений и т. д., но я не нашел ничего интегрированного и чистого. По общему признанию, это главное, что вы ищете ... (Если я нахожу что-нибудь хорошее, то я обновлю этот раздел!)

Alerting: Я использую SEC на сервере Linux, чтобы найти плохие вещи в журналах и предупредить меня с помощью различных методов. Это невероятно гибкий и не такой щекотливый, как Splunk. Там в хороший учебник здесь который проходит через множество возможных функций.

Я также использую Nagios для графиков различной статистики и некоторых предупреждений, которые я не получаю из журналов (например, когда службы опущены и т. д.). Это можно легко настроить, чтобы добавить графики всего, что вам нравится. Я добавил графики таких элементов, как количество обращений, сделанных на http-сервер, путем использования агента check_logfiles плагин, чтобы подсчитать количество обращений в журналах (он сохраняет позицию, которую он получает для каждого периода проверки).

В общем и целом, это зависит от того, сколько вашего времени будет стоить, чтобы установить это, так как есть много вариантов, которые вы можете использовать, но они не так интегрированы, как Splunk, и, вероятно, потребуется больше усилий, чтобы делать то, что вы хотите. Графики Nagios просты в настройке, но не дают вам исторических данных до того, как вы добавите график, тогда как с Splunk (и, предположительно, с другими фронтами) вы можете оглянуться на прошлые журналы и нарисуйте то, что у вас есть только подумал о том, чтобы взглянуть на них.

Также обратите внимание, что формат базы данных SQL и индексирование будут иметь огромный влияют на скорость запросов, поэтому ваша идея полнотекстового индексирования значительно увеличит скорость поиска. Я не уверен, что MySQL или PostgreSQL будут делать что-то подобное.

редактировать : MySQL будет выполнять полнотекстовую индексацию, но  только на таблицах MyISAM до MySQL 5.6. В 5.6 Добавлена ​​поддержка для InnoDB,

редактировать: Postgresql может выполнять полнотекстовый поиск: http://www.postgresql.org/docs/9.0/static/textsearch.html


30
2017-09-08 11:01





Больше нацелено на * nix, чем на windows, но Осьминожка поддерживает окна и, похоже, стремится к тому же вещам, что и splunk.


7
2017-09-08 11:25



Ссылка сломана. Не могли бы вы исправить это? - Martijn Heemels
Ссылка, похоже, работает здесь. - 3dinfluence
Я отредактировал его. Хотя, было не совсем сложно найти правильную ссылку. - Cian
Да ... Я не посещаю сайт с 8pussy в доменном имени на работе - Mark Henderson♦


Я нахожусь в середине тестирования ряда решений для мониторинга, но я хочу в основном контролировать окна. Большинство систем ориентированы на мониторинг SNMP, которые позволяют извлекать огромное количество информации без агентов.

Вот некоторые из систем, которые я пробовал до сих пор:

Nagios - с открытым исходным кодом. Поросенка настраивается, но высоко оценивается и кажется очень гибкой. По-видимому, это, по сути, счетчик-рекордер и не позволяет выполнять удаленное выполнение сценария и поэтому не может использоваться для решения проблем конфигурации, системного центра ala MS или Kaseya. Без агента, но практически бесполезен без инструмента NSclient, установленного на каждом клиенте.

Cacti - Довольно простой инструмент для построения графиков, основанный на вытягивании статистики snmp. Безагентное.

OpsView - На основе Nagios, но проще в настройке и имеет лучший интерфейс.

HypericHQ - Легко вставать и работать под Windows. Базовая версия бесплатна и делает много. Существует коммерческое предприятие HypericHQ. Агент должен быть установлен на каждом клиенте.

Zabbix - еще один приятный инструмент для мониторинга. Его проще в использовании, чем нагиос. Имеет агент, который вы можете установить на окна и клиентские машины. До сих пор я только изучил этот вариант.

Zenoss - с открытым исходным кодом. Я был очень впечатлен, как профессиональный Zenoss. Его монитор на базе протокола SNMP и имеет множество расширений, позволяющих контролировать работу HP, службы windows, ms sql server, mysql. Все расширения работают через SNMP, поэтому на клиентских машинах не нужно ничего устанавливать. Я еще не изучил все это, и, похоже, у меня много функциональности, которую я еще не использовал. Его основано на Zope, поэтому, если вы не достигли скорости при установке Zope, я бы рекомендовал загрузить предварительно подготовленную виртуальную машину - она ​​работает как мечта прямо из коробки.

На коммерческом фронте вы можете взглянуть на несколько инструментов:

Kaseya - стоит около 6k в год на 250 узлов, если я правильно помню, но является превосходным инструментом и имеет очень активное сообщество пользователей. Он нацелен на рынок msp и позволяет контролировать системы нескольких компаний. Он может использоваться без проблем.

GFI Hounddog - проще, чем Kaseya, но очень дешево на данный момент. Определенно стоит посмотреть.

Существует ряд решений, продаваемых в виде систем MSP, но которые по существу являются мониторами + удаленный администратор в сочетании.

Ян


6
2017-09-30 09:40





Для централизованного syslogging с множеством отличных функций я не могу не рекомендовать Rsyslog достаточно. Это сервер syslog с открытым исходным кодом, который может с радостью работать в качестве замены для обычного syslogd, который вы знаете и любите. Теперь это демон syslog для Ubuntu, и я думаю, что Red Hat & Fedora может пойти по этому пути. Я нашел его намного легче встать и запустить и сделать то, что вы хотите, это syslog-ng.

В настоящее время в нашем магазине у нас есть два центральных сервера rsyslog (по одному на каждом сайте), который получает журналы для сотен серверов. У меня есть автоматические уведомления по электронной почте, когда что-то в syslog запускает предупреждение или выше (с некоторой настройкой, конечно, некоторые приложения немного паникеры). Я мог бы, вероятно, сделать еще несколько умений, например, заставить его отправить материал нагиам или тому подобное, но на данный момент он достаточно покрывает нас для наших нужд.

Все это также входит в базу данных mysql (там также поддерживается Oracle или postgresql, если это так, как вы катитесь).

Существует также веб-интерфейс и агент windows для отправки журналов Eventlog на сервер rsyslog. Веб-интерфейс явно не такой гладкий, как splunk, но он выполняет работу за $ 0.


6
2018-05-27 14:44





Взгляни на http://www.codeplex.com/polymon

Его открытый исходный код использует SQL Server для бэкэнд и имеет привлекательный интерфейс.


2
2017-09-08 10:23



Это похоже на решение для мониторинга, такое как Nagios? - MichaelGG


Я согласен, что Splunk потрясающий. Тем не менее, для небольших, преимущественно Linux-сред вы можете посмотреть на что-то вроде epylog,

Мы использовали его в одном из мест, где я работал, и это было здорово для того, что мы хотели.

Не уверен, насколько хорошо он будет обрабатывать сообщения syslog Windows, которые отправляются в сборщик syslog Linux, но может быть стоит сделать снимок.


2
2017-09-08 10:18





Просто связываясь с моим ответом, где:

Splunk фантастически дорог: какие альтернативы?

Изменить (новые проекты):

LogStash а также Graylog2 проекты выглядят очень интересными

Вот несколько видеороликов: один  два,


2
2018-03-03 03:09



лучше поставить свой ответ из другого вопроса здесь, потому что этот является очевидным дубликатом этого и должен быть объединен / закрыт :) - warren


Что-то вроде GFI EventsManager может сделать трюк около $ 4k.

  • Анализ журналов событий, включая SNMP-ловушки, журналы событий Windows, журналы W3C и Syslog
  • Предупреждения в режиме реального времени, предупреждение SNMPv2-ловушек включено
  • Просмотр отчетов о ключевых секретных данных, которые сейчас происходят
  • Централизованное ведение журнала событий
  • Удалите «шум» или тривиальные события, которые составляют большое соотношение всей безопасности Мероприятия
  • Мониторинг и оповещение в режиме реального времени 24 x 7 x 365 дней
  • Графически отслеживать состояние GFI EventsManager и вашей сети через встроенный монитор состояния
  • Поддержка виртуальных сред

1
2017-09-08 10:49





Если вы ищете замену SysLog, вы также можете рассмотреть коммерческую замену syslog / rsyslog, такую ​​как LogLogic, http://loglogic.com, Мы (где я работаю) имеют полный набор функций регистрации, хранения и отчетности. По существу, его способность собирать 100 000 сообщений в секунду, болит и индексирует их, поэтому поиск может быть выполнен.


1
2017-07-08 21:15



Недавно я увидел демо-версию LogLogic. Очень впечатляющий материал. - Tom O'Connor
Вы должны попросить демо LogLogic 5, что еще лучше. - BillRoth


Вы можете попробовать logscape от liquidlabs - очень похоже на splunk, но имеет несколько разных функций. http://www.liquidlabs-cloud.com/products/logscape.html


0
2017-09-17 20:40





Я сделал базу данных SQL на предыдущем задании (это был MySQL, кстати), в комплекте со скриптами, интерфейсом Drupal с настраиваемыми скриптами PHP, работами.

Честно говоря, это заняло слишком много человеко-часов и все еще не было Splunk.

В настоящее время я тестирую Splunk. Да, это не бесплатно, но, глядя на картину, она может быть дешевле.


0
2017-11-05 17:12