我一直在看splunk.com上的video,真的很难相信一个人可以免费获得所有这些function,但还是有“那里有什么收获”? 在我的脑后。
所以如果有人真的在生产中使用Splunk,他们会喜欢分享他们的经验,可能会突出Nagios的优势吗?
非常感谢。
我们每天使用它7 + GB的数据,但我们支付。 很多。 我认为我们获得了一些学术折扣,但是大多数情况下我们设法certificate花钱是正确的,因为它让审计人员满意地看到我们的日志。
我们也使用nagios。 我们已经configuration了一些保存的searchnagios调用脚本,可以产生nagios警报或创buildRT门票。 因此,例如,在5分钟的时间窗口内(跨所有服务器)超过X次login失败将会产生警报。 这是nagios自己无法真正做到的。
之前,我们使用SEC来生成这些警报,但是它并没有工作,有人仍然不得不尝试在20GB的文件上使用grep。
我不确定我们有没有生成任何nagios警报, 我们已经把大部分(如果不是全部的话)转换成RT门票。 对于基于日志分析的东西,nagios警报模型并不是很好,对于状态可以是好的或坏的事物来说,它更好,而不是可能需要调查的离散事件。
编辑:
是的,这确实使我们的生活变得更加轻松。 这实际上比尝试通过日志grep更好。 我们已经有Windows,Linux和Solaris发送日志。
它是否神奇般地发现你想要的一些video意味着什么? 不,这是有一些限制,你可能需要做一些configuration来处理特定types的日志。 过于“有趣”的search可能需要阅读文档,然后等待几分钟,而splunk服务器搅动。 但是,严重的是,它是岩石。 从我所看到的,联盟中没有其他的东西。
我曾经与Splunk和Nagios一起工作,他们有两个截然不同的区别。
Splunk通过日志search更简单,更容易。 保存对常见问题的search对于发现问题是非常宝贵的。 我有两个Splunk服务器在不同的位置,他们都使用免费版,因为定价超出范围,每日索引金额不足以要求购买更多。
而另一方面,Nagios则是一个非常有效的监控平台。 我有一个5台服务器分布式Nagios平台监控多个地理位置。 它与监控日志文件的Splunk非常不同,Nagios可以使用服务检查插件来主动监控任何事情,并且可以通知您有问题,从而解决问题。
我发现这两者合在一起可以提供更好的画面,并且有助于维护networking。 特别是如果这是一个团队而不是个人的努力。 参与的每个人都能看到相同的图像。
日志处理只有500MB /天。 我对它进行了testing,即使每天保持在500MB以下,我发现许多“高级”function都需要真正的许可证。 它还需要大量的硬件资源才能正常工作。
我知道一家公司在大规模使用它,但是它也花了很多钱(低端许可证是几千美元)。
它和Nagios做的事情不一样。 Splunk似乎更适合跟踪趋势或寻找长期数据的特性,而Nagios更适合立即作出反应。
企业版非常昂贵,这是您在大规模环境中使用的版本。 这是我们没有使用它的原因。
Splunk实际上并不parsing日志数据,这使得难以或不可能创build跨越具有不同日志格式的系统的报告。 由于没有统一的分类标准来进行关联,因此也不可能进行实际的关联。
我testing过Splunk,发现它对于ADHOCsearch非常有用。 但是,现在我已经使用LogLogic作为MSSP多年了,因为它是一个可以处理多达75,000 MPS的设备解决scheme,它支持分布式体系结构,提供内置MD5校验和文件完整性(用于取证),并且具有许多索引报告,预编译为大多数日志源的正则expression式和布尔searchfilter。