Pertanyaan Alternatif untuk Splunk?


Saya cukup terkesan dengan Splunk, terutama versi 4. Grafik cantik, mengingatkan (hanya Enterprise), dan cepat, akurat, mencari. Ini produk hebat.

Namun, biaya terlalu tinggi untuk dipertimbangkan untuk penggunaan produksi penuh bagi perusahaan kami. Yang kita perlukan adalah dapat mengindeks log yang berbeda di tempat utama, dan memiliki pencarian yang masuk akal untuk itu. Memiliki peringatan berdasarkan pencarian yang disimpan juga sangat bagus. Kami tidak benar-benar melampaui itu.

Bahkan, penggunaan terbesar kami adalah menyebarkan aplikasi baru. Semuanya masuk melalui log4net ke log Event di Windows atau file teks di Linux. Splunk membuatnya sangat mudah untuk dengan cepat mencari di seluruh mereka untuk memastikan semua bagian dari aplikasi berfungsi ok - yang menyelamatkan kita banyak waktu dibandingkan memburu sumber penebangan individu.

Alternatif apa yang ada di pasar ini? Saya memiliki perasaan yang tenggelam. Harga Splunk sangat tinggi karena mereka memiliki produk terbaik sejauh ini, dan mereka tahu itu. Kami ingin server dijalankan di Windows.

Saya akan terbuka untuk model terpisah, menggunakan satu produk untuk log umum (kumpulkan melalui syslog / Snare), dan produk khusus untuk aplikasi khusus kami (seperti Dasbor Log4Net).

Apakah menggunakan server syslog sederhana seperti Kiwi, dikirim ke SQL Server (mungkin dengan fulltext diaktifkan) berfungsi?

Saya berharap biayanya harus di bawah 5 angka, USD. (Dan ya, saya tahu, kami murah. Kami adalah startup dengan sedikit uang, dan BizSpark mengurus semua lisensi MS kami.)

Edit: Saya harus menambahkan, kami memiliki sekitar 10 server fisik, 20 VM, dan beberapa firewall dan switch. 90% adalah Windows.


76
2017-09-05 11:14




Lihat juga posting SO ini: stackoverflow.com/questions/183977/… - warren
Apa yang dicakup BizSpark? Seri System Center tampak seperti rute pemantauan Windows normal, Manajer Operasi khususnya ... - Oskar Duveborn
Apa aku s Harga perpecahan, sih? Saya tidak melihatnya di situs web mereka ...? - Peter Mounce
Harga Splunk berbahaya! Untuk mengindeks 5gb / hari data lebih dari $ 30K untuk lisensi abadi. (Waspadai setiap perusahaan yang tidak memposting harga di situs web mereka!) - samsmith


Jawaban:


Catatan: Ini semua tentang Linux dan perangkat lunak gratis, karena itulah yang kebanyakan saya gunakan, tetapi Anda harus baik-baik saja dengan klien syslog pada Windows untuk mengirim log ke server syslog Linux.

Logging ke server SQL: Dengan hanya ~ 30 mesin, Anda akan baik-baik saja dengan hampir semua syslog-sama terpusat dan backend SQL. saya menggunakan syslog-ng dan MySQL di Linux untuk hal ini.

Frontend cantik untuk grafik adalah masalah utama - Tampaknya ada banyak front-end yang diretas yang akan mengambil item dari log dan menunjukkan berapa banyak klik, tanda, dll, tetapi saya belum menemukan apa pun yang terintegrasi dan bersih. Diakui ini adalah hal utama yang Anda cari ... (Jika saya menemukan sesuatu yang baik maka saya akan memperbarui bagian ini!)

Alerting: Saya menggunakan DETIK pada server Linux untuk menemukan hal-hal buruk yang terjadi di log dan memperingatkan saya melalui berbagai metode. Ini sangat fleksibel dan tidak sekaku Splunk. Ada tutorial yang bagus di sini yang memandu melalui banyak fitur yang mungkin.

Saya juga menggunakan Nagios untuk grafik berbagai statistik dan beberapa peringatan yang tidak saya dapatkan dari log (seperti ketika layanan turun dll). Ini dapat dengan mudah disesuaikan untuk menambahkan grafik apa pun yang Anda suka. Saya telah menambahkan grafik item seperti jumlah klik yang dibuat ke server http, dengan meminta agen menggunakan check_logfiles plugin untuk menghitung jumlah klik dalam log (ini menghemat posisi untuk setiap periode pemeriksaan).

Secara keseluruhan, itu tergantung pada berapa banyak waktu Anda untuk menyiapkan ini, karena ada banyak pilihan yang dapat Anda gunakan tetapi mereka tidak terintegrasi seperti Splunk dan mungkin akan membutuhkan lebih banyak upaya untuk melakukan apa yang Anda inginkan. Grafik Nagios sangat mudah untuk diatur tetapi tidak memberikan data historis dari sebelum Anda menambahkan grafik, sedangkan dengan Splunk (dan mungkin ujung depan lainnya) Anda dapat melihat kembali log sebelumnya dan membuat grafik hal-hal yang baru saja Anda miliki terpikir untuk melihat dari mereka.

Perhatikan juga bahwa format dan pengindeksan database SQL akan memiliki besar sekali berpengaruh pada kecepatan kueri, sehingga ide Anda tentang pengindeksan fulltext akan membuat peningkatan yang luar biasa terhadap kecepatan pencarian. Saya tidak yakin apakah MySQL atau PostgreSQL akan melakukan hal serupa.

Edit : MySQL akan melakukan pengindeksan fulltext, tapi  hanya pada tabel MyISAM sebelum MySQL 5.6. Di 5.6 Dukungan ditambahkan untuk InnoDB.

Edit: Postgresql dapat melakukan pencarian teks lengkap tentu saja: http://www.postgresql.org/docs/9.0/static/textsearch.html


30
2017-09-08 11:01





Lebih ditujukan pada * nix daripada windows, tapi octopussy tidak mendukung windows, dan tampaknya mengarah pada hal yang sama seperti splunk.


7
2017-09-08 11:25



Tautan rusak. Bisakah Anda memperbaikinya? - Martijn Heemels
Tautan sepertinya berfungsi di sini. - 3dinfluence
Saya mengeditnya. Meskipun, tidak sulit untuk menemukan tautan yang benar. - Cian
Ya ... Saya tidak mengunjungi situs web dengan 8pussy dalam nama domain di tempat kerja - Mark Henderson♦


Saya sedang mencoba sejumlah solusi pemantauan - tetapi saya terutama ingin memantau jendela. Sebagian besar sistem diarahkan ke pemantauan SNMP yang berhasil menarik sejumlah besar informasi tanpa agen.

Ini adalah beberapa sistem yang saya coba sejauh ini:

Nagios - Open source. Seekor babi untuk dikonfigurasi tetapi dinilai tinggi dan kelihatannya sangat fleksibel. Pada dasarnya ini adalah perekam tandingan dan tidak memungkinkan eksekusi skrip jarak jauh sehingga tidak dapat digunakan untuk mengatasi masalah konfigurasi, ala MS system center atau Kaseya. Tanpa agen tetapi pada dasarnya tidak berguna tanpa alat NSclient diinstal pada setiap klien.

Cacti - Alat graphing yang cantik dan lugas berdasarkan tarik statistik snmp. Tanpa agen.

OpsView - Berdasarkan nagios tetapi lebih mudah dikonfigurasi dan memiliki front end yang lebih baik.

HypericHQ - Mudah untuk bangun dan berjalan di bawah Windows. Versi dasar gratis dan banyak. Ada perusahaan HypericHQ komersial. Agen harus diinstal pada setiap klien.

Zabbix - Alat pemantauan bagus lainnya. Ini lebih mudah digunakan daripada nagios. Memiliki agen yang dapat Anda instal di windows dan mesin klien. Saya baru saja menjelajahi yang satu ini sejauh ini.

Zenoss - Sumber terbuka. Saya sangat terkesan dengan betapa profesionalnya Zenoss. Ini adalah monitor berbasis SNMP dan memiliki banyak ekstensi untuk memungkinkan pemantauan proliants HP, layanan windows, server sql ms, mysql. Semua ekstensi bekerja melalui SNMP sehingga tidak perlu diinstal pada mesin klien. Saya belum menjelajahi semuanya dan tampaknya ada banyak fungsi yang belum saya manfaatkan. Ini didasarkan pada Zope jadi kecuali Anda mempercepat instalasi Zope, saya sarankan mengunduh VM yang sudah disiapkan - ini bekerja seperti mimpi langsung dari kotak.

Di bagian depan komersial Anda bisa melihat beberapa alat:

Kaseya - biaya sekitar 6k per tahun untuk 250 node, jika saya ingat dengan benar, tetapi merupakan alat yang hebat dan memiliki komunitas pengguna yang sangat aktif. Ini ditujukan pada pasar msp dan memungkinkan pemantauan berbagai sistem perusahaan. Ini dapat digunakan secara internal tanpa masalah.

GFI Hounddog - lebih sederhana dari Kaseya tetapi sangat murah saat ini. Sangat menarik untuk dilihat.

Ada sejumlah solusi di luar sana dijual sebagai sistem MSP tetapi pada dasarnya monitor + admin remote dikombinasikan.

Ian


6
2017-09-30 09:40





Untuk syslogging terpusat dengan banyak fitur hebat saya tidak bisa membantu tetapi merekomendasikan rsyslog cukup. Ini adalah server syslog open source yang dengan senang hati bisa berfungsi sebagai pengganti menggantikan syslogd biasa yang Anda kenal dan cintai. Its sekarang syslog daemon pilihan untuk Ubuntu dan saya pikir Red Hat & Fedora mungkin akan turun jalan itu juga. Saya telah menemukan lebih mudah untuk bangun dan menjalankan dan melakukan apa yang Anda inginkan yang syslog-ng.

Saat ini di toko kami, kami memiliki dua server rsyslog pusat (satu di setiap situs) yang menerima log untuk ratusan server. Saya mendapat pemberitahuan email otomatis setiap kali sesuatu di syslog memicu peringatan atau lebih tinggi (dengan beberapa tweaking tentu saja, beberapa aplikasi sedikit mengkhawatirkan). Saya mungkin bisa melakukan beberapa kecerdasan lagi seperti mendapatkannya untuk mengirim barang ke nagios atau semacamnya tetapi cukup untuk memenuhi kebutuhan kita saat ini.

Ini semua masuk ke database mysql juga (ada juga dukungan untuk Oracle atau postgresql jika begitulah Anda menggulung).

Ada juga a frontend web dan a agen windows untuk mengirim log Eventlog ke server rsyslog juga. Frontend web jelas tidak licin seperti splunk tetapi mendapat pekerjaan yang dilakukan untuk $ 0.


6
2018-05-27 14:44





Melihat http://www.codeplex.com/polymon

Sumber terbuka, menggunakan SQL Server di backend dan memiliki UI yang mewah


2
2017-09-08 10:23



Itu sepertinya lebih seperti solusi pemantauan, seperti nagios? - MichaelGG


Saya setuju Splunk itu luar biasa. Untuk lingkungan Linux yang kecil dan dominan, Anda mungkin ingin melihat sesuatu seperti epilog.

Kami menggunakannya di salah satu tempat yang pernah saya gunakan, dan itu sangat bagus untuk apa yang kami inginkan.

Tidak yakin seberapa baik itu akan menangani pesan-pesan syslog Windows yang dikirim ke kolektor syslog Linux, tetapi mungkin layak dicoba.


2
2017-09-08 10:18





Cukup tautkan ke jawaban saya di mana:

Splunk sangat mahal: Apa alternatifnya?

Edit (proyek baru):

Itu LogStash dan Graylog2 proyek terlihat sangat menarik

Berikut beberapa Video: satu  dua.


2
2018-03-03 03:09



lebih baik untuk menempatkan jawaban Anda dari pertanyaan lain di sini karena yang satu ini merupakan duplikat yang jelas dari yang satu ini dan harus digabung / ditutup :) - warren


Sesuatu seperti GFI EventsManager mungkin melakukan trik untuk sekitar $ 4k.

  • Analisis log peristiwa termasuk Perangkap SNMP, log Peristiwa Windows, log W3C dan Syslog
  • Pemberitahuan real-time, peringatan SNMPv2 yang disertakan
  • Lihat laporan tentang informasi keamanan kunci yang terjadi sekarang
  • Pencatatan kejadian terpusat
  • Hapus "kebisingan" atau peristiwa sepele yang membentuk rasio besar dari semua keamanan acara
  • Real-time 24 x 7 x 365 hari monitoring dan memperingatkan
  • Grafis monitor status GFI EventsManager dan jaringan Anda melalui monitor status bawaan
  • Dukungan untuk lingkungan virtual

1
2017-09-08 10:49