Pregunta Alternativas a Splunk?


Estoy bastante impresionado con Splunk, especialmente la versión 4. Gráficos bonitos, alertas (solo Enterprise) y búsqueda rápida y precisa. Es un gran producto.

Sin embargo, el costo es demasiado alto para considerar el uso de producción total para nuestra compañía. Todo lo que realmente necesitamos es poder indexar diferentes registros en un lugar central y tener una búsqueda razonable en eso. Tener alertas basadas en una búsqueda guardada también es muy bueno. Realmente no vamos más allá de eso.

De hecho, nuestro mayor uso ha sido en el despliegue de nuevas aplicaciones. Todo se registra a través de log4net en el registro de eventos en Windows o en un archivo de texto en Linux. Splunk hace que sea bastante fácil buscar rápidamente entre ellos para asegurarse de que todas las partes de la aplicación funcionen bien, eso nos ahorra muchísimo tiempo en lugar de buscar fuentes de registro individuales.

¿Qué alternativas existen en este mercado? Tengo una sensación de hundimiento. Los precios de Splunk son muy altos porque tienen el mejor producto y lo saben. Queremos que el servidor se ejecute en Windows.

Estaría abierto a un modelo dividido, utilizando un producto para registros generales (recopilación a través de syslog / Snare), y un producto dedicado para nuestras aplicaciones personalizadas (como Tablero de Log4Net).

¿Funcionaría el uso de un servidor de syslog simple como Kiwi, enviado a SQL Server (quizás con texto completo habilitado)?

Espero que el costo sea inferior a 5 cifras, USD. (Y sí, lo sé, somos baratos. Somos una startup con poco dinero y BizSpark se encarga de todas nuestras licencias de MS).

Edición: Debería agregar, tenemos alrededor de 10 servidores físicos, 20 máquinas virtuales y un par de firewalls y switches. El 90% es Windows.


76
2017-09-05 11:14


origen


Vea también esta publicación SO: stackoverflow.com/questions/183977/… - warren
¿Qué cubre BizSpark? La serie System Center parece ser la ruta de monitoreo normal de Windows, especialmente Operations Manager ... - Oskar Duveborn
Qué es Los precios de Splunk, de todos modos? No lo vi en su página web ...? - Peter Mounce
¡El precio de Splunk es peligroso! El índice de 5 gb / día de datos es de más de $ 30K para una licencia perpetua. (¡Cuidado con cualquier compañía que no publique precios en su sitio web!) - samsmith


Respuestas:


Nota: Esto es todo sobre Linux y software libre, ya que eso es lo que uso principalmente, pero debería estar bien con un cliente de syslog en Windows para enviar los registros a un servidor de syslog de Linux.

Iniciar sesión en un servidor SQL: Con solo ~ 30 máquinas, debería estar bien con prácticamente cualquier syslog centralizado y un backend SQL. yo suelo syslog-ng y MySQL en Linux para esto mismo.

Lindas frontends el problema principal son los gráficos: parece que hay muchos front-end pirateados que capturan elementos de los registros y muestran la cantidad de visitas, alertas, etc. pero no he encontrado nada integrado y limpio. Admito que esto es lo principal que estás buscando ... (¡Si encuentro algo bueno, actualizaré esta sección!)

Alertando: Yo suelo SEGUNDO en un servidor Linux para encontrar cosas malas que suceden en los registros y alertarme a través de varios métodos. Es increíblemente flexible y no tan simple como Splunk. Hay un buen tutorial aquí que guía a través de muchas de las características posibles.

Yo tambien uso Nagios para gráficos de varias estadísticas y algunas alertas que no obtengo de los registros (como cuando los servicios están caídos, etc.). Esto se puede personalizar fácilmente para agregar gráficos de lo que quieras. He agregado gráficos de elementos, como el número de visitas realizadas a un servidor http, haciendo que el agente use el check_logfiles complemento para contar el número de visitas en los registros (guarda la posición que ocupa para cada período de verificación).

En general, Depende de cuánto costará su tiempo configurar esto, ya que hay muchas opciones que puedes usar, pero no están tan integradas como Splunk y probablemente requerirán más esfuerzo para hacer lo que quieres. Los gráficos de Nagios son fáciles de configurar, pero no le brindan datos históricos antes de agregar el gráfico, mientras que con Splunk (y presumiblemente otros frontales) puede mirar hacia atrás en los registros anteriores y graficar las cosas que acaba de hacer. Pensé en mirar desde ellos.

Tenga en cuenta también que el formato de base de datos SQL y la indexación tendrán un enorme influye en la velocidad de las consultas, por lo que su idea de indexación de texto completo aumentará enormemente la velocidad de las búsquedas. No estoy seguro de si MySQL o PostgreSQL harán algo similar.

Editar : MySQL hará indexación de texto completo, pero  solo en tablas MyISAM antes de MySQL 5.6. En 5.6 se agregó soporte para InnoDB..

Editar: Postgresql puede hacer una búsqueda de texto completo por supuesto: http://www.postgresql.org/docs/9.0/static/textsearch.html


30
2017-09-08 11:01





Más orientado a * nix que windows, pero pulpo soporta ventanas, y parece apuntar a la misma clase de cosas que splunk.


7
2017-09-08 11:25



El enlace está roto. ¿Podrías arreglarlo por favor? - Martijn Heemels
Link parece estar funcionando aquí. - 3dinfluence
Lo edité. Aunque, no fue exactamente difícil averiguar el enlace correcto. - Cian
Sí ... no estoy visitando un sitio web con 8pussy en el nombre de dominio en el trabajo - Mark Henderson♦


Estoy intentando probar varias soluciones de monitoreo, pero quiero monitorear principalmente las ventanas. La mayoría de los sistemas están orientados a la monitorización SNMP, que logra extraer una gran cantidad de información sin agentes.

Estos son algunos de los sistemas que he probado hasta ahora:

Nagios - Código abierto. Un cerdo para configurar pero altamente calificado y parece muy flexible. Parece ser esencialmente un registrador de contador y no permite la ejecución remota de scripts, por lo que no se puede utilizar para detectar problemas de configuración, como el centro del sistema MS o Kaseya. Sin agente, pero es esencialmente inútil sin la herramienta NSclient instalada en cada cliente.

Cacti: herramienta de gráficos bonita y directa basada en estadísticas de snmp. Sin agente

OpsView: se basa en Nagios, pero es más fácil de configurar y tiene una mejor interfaz.

HypericHQ - Fácil de instalar y ejecutar bajo Windows. La versión base es gratuita y hace mucho. Hay una empresa comercial HypericHQ. El agente tiene que estar instalado en cada cliente.

Zabbix - Otra herramienta de monitoreo agradable. Es más fácil de usar que los nagios. Tiene un agente que puede instalar en windows y máquinas cliente. Solo he explorado esto un poco hasta ahora.

Zenoss - Código abierto. Me ha impresionado mucho lo profesional que es Zenoss. Es un monitor basado en SNMP y tiene un montón de extensiones para permitir el monitoreo de HP proliants, windows services, ms sql server, mysql. Todas las extensiones funcionan a través de SNMP, por lo que no es necesario instalar nada en las máquinas cliente. No lo he explorado todo todavía y parece haber mucha funcionalidad que aún no he explotado. Se basa en Zope, así que, a menos que esté al tanto de las instalaciones de Zope, le recomiendo que descargue la máquina virtual preparada, ya que funciona como un sueño.

En el frente comercial puede echar un vistazo a algunas herramientas:

Kaseya: cuesta alrededor de 6k por año para 250 nodos, si recuerdo bien, pero es una herramienta excelente y tiene una comunidad de usuarios muy activa. Está dirigido al mercado msp y permite el seguimiento de sistemas de múltiples empresas. Puede ser utilizado internamente sin problemas.

GFI Hounddog - más simple que Kaseya pero muy barato en este momento. Definitivamente vale la pena echarle un vistazo.

Hay una serie de soluciones que se venden como sistemas MSP pero que son esencialmente monitores + administración remota combinados.

Ian


6
2017-09-30 09:40





Para el syslogging centralizado con muchas características excelentes, no puedo dejar de recomendar rsyslog suficiente. Es un servidor de syslog de código abierto que puede funcionar felizmente como un reemplazo directo del syslogd normal que usted conoce y adora. Ahora es el daemon de syslog elegido para Ubuntu y creo que Red Hat y Fedora también podrían ir por ese camino. He encontrado que es mucho más fácil ponerse en marcha y hacer lo que quieras que sea syslog-ng.

Actualmente en nuestra tienda tenemos dos servidores centrales de rsyslog (uno en cada sitio) que recibe registros de cientos de servidores. Tengo alertas automáticas de correo electrónico cuando algo en syslog activa una alerta o superior (con algunas modificaciones, por supuesto, algunas aplicaciones son un poco alarmistas). Probablemente podría hacer algo más inteligente como enviar material a nagios o similares, pero por el momento nos cubre lo suficiente para nuestras necesidades.

Todo esto también se incluye en una base de datos mysql (también hay soporte para Oracle o postgresql si así lo haces).

También hay un interfaz web y un agente de windows para enviar registros de Eventlog al servidor rsyslog también. La interfaz web, obviamente, no es tan elegante como splunk pero hace el trabajo por $ 0.


6
2018-05-27 14:44





Echa un vistazo a http://www.codeplex.com/polymon

Su código abierto, utiliza SQL Server en el backend y tiene una interfaz de usuario elegante


2
2017-09-08 10:23



¿Eso parece ser más como una solución de monitoreo, como Nagios? - MichaelGG


Estoy de acuerdo en que Splunk es increíble. Sin embargo, para entornos pequeños y dominantes de Linux, es posible que desee ver algo como epilogo.

Lo usamos en uno de los lugares donde solía trabajar, y fue genial para lo que queríamos.

No estoy seguro de qué tan bien manejaría los mensajes de syslog de Windows que se envían a un recolector de syslog de Linux, pero puede valer la pena intentarlo.


2
2017-09-08 10:18





Sólo un enlace a mi respuesta más donde:

Splunk es increíblemente caro: ¿Cuáles son las alternativas?

Editar (nuevos proyectos):

los LogStash y Graylog2 los proyectos se ven muy interesantes

Aquí hay un par de videos: uno  dos.


2
2018-03-03 03:09



Es mejor poner la respuesta de la otra pregunta aquí porque esa es una copia obvia de esta y debe ser fusionada / cerrada :) - warren


Algo como GFI EventsManager podría hacer el truco por alrededor de $ 4k.

  • Análisis de registros de eventos que incluyen capturas SNMP, registros de eventos de Windows, registros W3C y Syslog
  • Alertas en tiempo real, alertas SNMPv2 incluidas.
  • Ver informes sobre información de seguridad clave que está ocurriendo ahora
  • Registro de eventos centralizado
  • Elimine el "ruido" o los eventos triviales que conforman una gran proporción de toda la seguridad eventos
  • Monitoreo y alerta en tiempo real 24 x 7 x 365 días
  • Supervise gráficamente el estado de GFI EventsManager y su red a través del monitor de estado incorporado
  • Soporte para entornos virtuales.

1
2017-09-08 10:49





Si está buscando un reemplazo de SysLog, es posible que también desee considerar un reemplazo de syslog / rsyslog comercial como LogLogic, http://loglogic.com. Nosotros (donde trabajo) tenemos un conjunto completo de dispositivos de registro, almacenamiento e informes. Esencialmente, es la capacidad de recopilar 100.000 mensajes por segundo, adolorirlos e indexarlos para que se puedan realizar búsquedas.


1
2017-07-08 21:15



Vi una demo de LogLogic recientemente. Cosas muy impresionantes. - Tom O'Connor
Debe solicitar una demostración de LogLogic 5, que es aún mejor. - BillRoth


Puedes probar logscape desde liquidlabs, muy similar a splunk pero también tiene algunas características diferentes ... http://www.liquidlabs-cloud.com/products/logscape.html


0
2017-09-17 20:40