대규모 프로덕션 환경에서 Splunk를 사용하는 사람이 있습니까? [닫은]

12

splunk.com에서 비디오를보고 있는데 실제로 모든 기능을 무료로 사용할 수 있다고 믿기가 어렵지만 여전히 "캐치가 어디에 있습니까?" 내 머리 뒤에.

실제로 프로덕션에서 Splunk를 사용하는 사람이 Nagios와 같은 이점을 강조하면서 자신의 경험을 공유하고 싶다면 좋을 것입니다.

미리 감사드립니다.

log-files  splunk 
Nano Taboada
소스

답변:

12

우리는 매일 7GB 이상의 데이터를 사용하고 있지만 그 비용을 지불합니다. 많이. 나는 우리가 약간의 학문적 할인을 얻는다고 생각하지만, 우리는 누군가가 우리의 통나무를 살펴 보는 것에 대한 감사자를 만족시키기 때문에 돈을 쓰는 것을 정당화 할 수있었습니다.

우리는 또한 nagios 사용합니다. 우리는 nagios 경고를 생성하거나 RT 티켓을 생성하는 스크립트를 호출하는 저장된 검색으로 nagios를 구성했습니다 . 예를 들어 5 분 동안 (모든 서버에서) X 로그인에 실패하면 경고가 생성됩니다. 그것은 나 지오가 실제로 스스로 할 수없는 일입니다.

이전에는 SEC 를 사용하여 이러한 종류의 경고를 생성했지만 제대로 작동하지 않았으며 여전히 누군가 20GB 파일에서 grep을 사용하려고했습니다.

더 이상 nagios 경고가 생성되지 않았는지 잘 모르겠습니다. 우리는 전부는 아니지만 대부분 RT 티켓을 생성하도록 전환했습니다. nagios 경보 모델은 로그 분석을 기반으로하는 자료에는 실제로 제대로 작동하지 않습니다. 조사가 필요할 수있는 개별 이벤트가 아니라 좋거나 나쁠 수있는 상태의 것이 더 좋습니다.

편집하다:

그렇습니다. 실제로 인생이 훨씬 쉬워집니다. 로그를 통해 grep하는 것보다 훨씬 낫습니다. Windows, Linux 및 Solaris 상자에 로그를 보냅니다.

어떤 비디오가 암시하는 것처럼 정확하게 원하는 것을 마술처럼 찾습니까? 아니요, 몇 가지 제한 사항이 있으며 특정 유형의 로그를 제대로 처리하려면 약간의 구성을 수행해야 할 수도 있습니다. 지나치게 "흥미로운"검색은 문서를 읽고 splunk 서버가 떨리는 동안 몇 분 정도 기다려야 할 수 있습니다. 그러나 진지하게 흔들립니다. 내가 본 것 중에서도 리그에는 다른 것이 없습니다.


소스
전체적으로 Splunk에 만족하십니까? 웹 사이트 등에있는 시연에 따라 진행됩니까?
Ryan Fisher
질문에 답변하기 위해 조금 편집
freiheit
4

나는 Splunk와 Nagios와 함께 일했으며 두 가지 차이점을 제공합니다.

Splunk는 로그를보다 간단하고 쉽게 검색 할 수 있도록합니다. 일반적인 문제에 대한 검색을 저장하면 문제를 식별하는 데 매우 중요합니다. 다른 위치에 2 대의 Splunk 서버가 있는데 가격이 범위를 벗어 났으며 일일 인덱싱 된 금액이 추가 구매를 요구하기에 충분하지 않아 무료 버전을 사용하고 있습니다.

반면에 Nagios는 훌륭한 활성 모니터링 플랫폼을 만듭니다. 여러 지리적 위치를 모니터링하는 5 개의 서버 분산 Nagios 플랫폼이 있습니다. 로그 파일을 모니터링하는 Splunk와는 매우 다른 Nagios는 서비스 검사 플러그인을 작성하여 거의 모든 것을 능동적으로 모니터링하고 문제에 대한 알림을 받도록하여 문제를 해결할 수 있습니다.

이 두 가지가 함께 있으면 훨씬 더 나은 그림을 얻을 수 있으며 네트워크 유지 관리에 도움이됩니다. 특히 팀 대 개인 노력의 경우. 관련된 모든 사람이 같은 그림을 볼 수 있습니다.

제레미 부스
소스
3

최대 500MB / 일의 로그 처리 만 무료입니다. 테스트 한 결과 500MB / 일 미만인 경우에도 더 많은 "고급"기능에는 실제 라이센스가 필요하다는 것을 알았습니다. 또한 제대로 작동하려면 많은 하드웨어 리소스가 필요합니다.

나는 회사가 그것을 매우 큰 규모로 사용한다는 것을 알고 있지만, 너무 많은 돈이 들기도합니다 (저가 라이센스는 수천 달러입니다).

Nagios와는 다른 일을합니다. Splunk는 추세를 추적하거나 장기 데이터의 특성을 찾는 데 더 좋아 보이고 Nagios는 즉시 반응 할 수있는 것이 좋습니다.

데이비드
소스
1

Enterprise Edition은 대규모 환경에서 사용하는 버전 인 매우 비용이 많이 듭니다. 이것이 우리가 그것을 사용하지 않은 이유입니다.

David Pashley
소스
1

Splunk는 실제로 로그 데이터를 구문 분석하지 않으므로 다른 로그 형식의 시스템에 걸쳐있는 보고서를 작성하기가 어렵거나 불가능합니다. 또한 상관 관계가있는 일관된 분류 체계가 없기 때문에 실제 상관 관계를 수행 할 수 없습니다.

남자
소스
0

Splunk를 테스트했으며 ADHOC 검색에 매우 유용한 것으로 나타났습니다. 그러나 LogLogic을 몇 년 동안 MSSP로 사용했습니다. 75,000 MPS를 처리하도록 조정 된 어플라이언스 솔루션이기 때문에 분산 아키텍처를 지원하고 내장 된 MD5 Checksum File Integrity (법의학 용)를 제공하며 대부분의 로그 소스에 대해 사전 작성된 색인 보고서, 정규식 및 부울 검색 필터.

트레 벤
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.