Myśli o darmowym Splunk

Zastanawiam się nad wdrożeniem Splunk w mojej firmie, ale jestem ostrożny w kwestii inwestycji finansowych. Zauważyłem, że jest darmowa wersja Splunk, która wydaje się wystarczająco dobra.

Czy ktoś może mi powiedzieć, czy korzystasz z darmowej wersji w swojej firmie? Czy uważasz, że bezpłatna wersja jest odpowiednia, czy tylko odskocznia do ewentualnego zakupu?

Korzystamy z bezpłatnego Splunk razem z OSSEC na kilku klientach i jest on doskonale użyteczny. Oczywiście ma pewne ograniczenia w porównaniu z wersją niewolną:

• Limit 500 MB dziennie (z dopuszczalnymi dwoma lub trzema pikami miesięcznie): jeśli nie wygenerujesz tak dużej ilości danych, nie wpłynie to na ciebie
• Uwierzytelnianie: bezpłatny Splunk go nie ma. Używamy apache i http_auth, aby pokonać to ograniczenie. To nie jest idealne rozwiązanie, ale wystarczająco dobre. Jeśli będziesz jedynym użytkownikiem, możesz uruchomić go na localhost.
• Różni użytkownicy: bezpłatny Splunk ma tylko jednego użytkownika. Dzięki temu nie otrzymujesz spersonalizowanych pulpitów nawigacyjnych i dostosowywania. Ponownie, jeśli wszyscy szukacie tego samego i nie dbacie o dzielenie się lub jesteście jedyni, nie powinno być problemu.

Ogólnie rzecz biorąc, darmowy Splunk (szczególnie wersja 4) jest produktem per se i może być używany w produkcji bez obaw, chyba że potrzebujesz dodatkowych funkcji wersji niewolnej.

Ogólnie rzecz biorąc, darmowy Splunk (szczególnie wersja 4) jest produktem per se i może być używany w produkcji bez obaw, chyba że potrzebujesz dodatkowych funkcji wersji niewolnej.

Jeśli masz małe ilości danych do zindeksowania, powyższe jest prawdziwe.

Odkryliśmy, że jeśli Twoje dane mieszczą się w limicie, masz problem.

Doszliśmy do wniosku: Heck, 500mb / dzień, to dużo. Jeśli go przekroczymy, nic wielkiego, będziemy mogli przeszukać tylko 500 mb.

Źle!

Według strony z odpowiedziami splunk , jeśli przekroczysz granice, funkcja wyszukiwania splunk jest wyłączona ... na DZIEŃ za jednym razem.

To skutecznie ZABIJA twój system dzielony (jeśli nie możesz wyszukiwać, cały system jest tak samo przydatny jak worek piasku).

„Jeśli przekroczysz licencjonowany dzienny wolumen w dowolnym dniu kalendarzowym, otrzymasz ostrzeżenie o naruszeniu. Wiadomość będzie obowiązywać przez 14 dni. Jeśli masz 5 lub więcej naruszeń licencji Enterprise lub 3 naruszeń licencji Free na 30 - okres wyszukiwania zostanie wyłączony. Możliwości wyszukiwania zostaną przywrócone, jeśli w ciągu ostatnich 30 dni wystąpi mniej niż 5 (Enterprise) lub 3 (Bezpłatne) naruszenia lub gdy zastosujesz nową licencję z większym limitem wolumenu.

Uwaga: W okresie naruszenia licencji Splunk nie przestaje indeksować danych. Splunk blokuje dostęp tylko podczas przekraczania licencji.

Więc nawet jeśli masz płatną licencję, jeśli przekroczysz granice, możesz skutecznie wyłączyć system.

Nie można nawet zmienić domyślnego hasła administratora za pomocą bezpłatnej licencji. Oznacza to, że każdy w sieci może wysyłać dane do indeksatora / forwardera z domyślnymi poświadczeniami admin: changeme.

Pomyśl o tym.

Jesteśmy zespołem 12 osób w dużej firmie medialnej w Londynie. Posiadamy licencję dla przedsiębiorstw przekraczającą 100 GB dla całej firmy, ale nasz zespół nadal prowadzi osobny serwer z darmową wersją. To pozwala nam na większą swobodę grania w konfiguracje i indeksowanie „jednorazowych” partii danych, które w innym przypadku zajęłyby nasz system produkcyjny ze względu na prawa dostępu i kontrolę zmian.

Jest to rodzaj środowiska deweloperskiego / testowego dla splunk, ale mamy również wiele wyszukiwań i pulpitów nawigacyjnych, z których korzystamy przez cały czas i nie chcemy przenosić się na produkcję. Tak, darmowa wersja jest przydatna.