무료 Splunk에 대한 생각

회사에서 Splunk를 구현하는 것을 고려하고 있지만 금융 투자에 대해서는 우려가 있습니다. 나는 충분한 것으로 보이는 Splunk의 무료 버전이 있음을 알았습니다.

회사에서 무료 버전을 사용 중인지 아는 사람이 있습니까? 무료 버전이 적당하거나 최종 구매를위한 발판이 되었습니까?

여러 고객에게 무료 Splunk 를 OSSEC 과 함께 사용 하며 완벽하게 사용할 수 있습니다. 물론 무료 버전이 아닌 버전에 비해 몇 가지 제한이 있습니다.

• 하루 500MB 제한 (한 달에 최대 2 ~ 3 개의 피크 허용) : 많은 양의 데이터를 생성하지 않으면 영향을 미치지 않습니다.
• 인증 : 무료 Splunk에는 없습니다. 우리는이 한계를 극복하기 위해 apache와 http_auth를 사용합니다. 완벽한 솔루션은 아니지만 충분합니다. 유일한 사용자라면 localhost에서 실행할 수 있습니다.
• 다른 사용자 : 무료 Splunk에는 한 명의 사용자 만 있습니다. 따라서 개인화 된 대시 보드 및 사용자 정의를 얻지 못합니다. 다시 말하지만, 모두 같은 것을 찾고 공유에 관심이 없거나 유일한 사람이라면 아무런 문제가 없을 것입니다.

전체적으로 무료 Splunk (특히 버전 4)는 제품 자체이므로 무료 버전이 아닌 추가 기능이 필요하지 않은 경우 걱정없이 프로덕션에 사용할 수 있습니다.

전체적으로 무료 Splunk (특히 버전 4)는 제품 자체이므로 무료 버전이 아닌 추가 기능이 필요하지 않은 경우 걱정없이 프로덕션에 사용할 수 있습니다.

색인 할 데이터가 적은 경우 위의 내용이 적용됩니다.

우리가 알게 된 것은 귀하의 데이터가 한도 범위에 있다면 문제가 있다는 것입니다.

우리는 : 500mb / day, Heck이 많았습니다. 우리가 그것을 초과하면 큰 일이 없으며 500MB 만 검색 할 수 있습니다.

잘못된!

splunk 답변 사이트 에 따르면 한도에 도달하면 한 번에 DAYS에 대해 Splunk Search 기능이 비활성화됩니다.

이것은 효과적으로 당신의 splunk 시스템을 죽입니다 (검색 할 수 없다면, 전체 시스템은 모래 자루만큼이나 유용합니다).

"일일에 라이센스가있는 일일 볼륨을 초과하면 위반 경고가 표시됩니다. 메시지는 14 일 동안 지속됩니다. Enterprise 라이센스에 5 회 이상의 위반이 있거나 롤링에서 무료 라이센스에 대한 위반이 3 회있는 경우 30 이전 30 일 동안 5 회 (엔터프라이즈) 또는 3 회 (무료) 위반이 적거나 볼륨이 더 큰 새 라이센스를 적용하면 검색 기능이 반환됩니다.

참고 : 라이센스 위반 기간 동안 Splunk는 데이터 인덱싱을 중지하지 않습니다. Splunk는 라이센스를 초과하는 동안에 만 액세스를 차단합니다.

따라서 유료 라이센스가 있더라도 한계에 도달하면 효과적으로 시스템을 비활성화 할 수 있습니다.

무료 라이센스로 기본 관리자 비밀번호를 변경할 수도 없습니다. 이는 네트워크의 모든 사용자가 기본 admin : changeme 자격 증명을 사용하여 인덱서 / 전달자에게 데이터를 보낼 수 있음을 의미합니다.

생각 해봐

우리는 런던의 한 대형 미디어 회사에서 12 명으로 구성된 팀입니다. 회사 전체에 대해 100GB를 초과하는 엔터프라이즈 라이센스가 있지만 팀은 여전히 ​​무료 버전으로 별도의 서버를 운영합니다. 이를 통해 액세스 권한 및 변경 제어로 인해 프로덕션 시스템에서 더 오래 걸리는 구성 및 인덱스 '일회용'배치 데이터를보다 자유롭게 플레이 할 수 있습니다.

splunk를위한 일종의 개발 / 테스트 환경이지만 프로덕션으로 이동하고 싶지 않은 모든 시간에 사용할 수있는 많은 검색 및 대시 보드도 있습니다. 예, 무료 버전이 유용합니다.