Używamy go do ponad 7 GB danych dziennie, ale płacimy za to. Dużo. Myślę, że dostajemy trochę akademickiego rabatu, ale głównie udało nam się uzasadnić wydawanie pieniędzy, ponieważ satysfakcjonowało to audytorów z tego, że ktoś / coś przegląda nasze dzienniki.
Mamy również użyć Nagios. Skonfigurowaliśmy nagios z niektórymi zapisanymi wyszukiwaniami, które wywołują skrypty, które generują powiadomienia nagios lub tworzą bilety RT . Na przykład ponad X awarii logowania w 5-minutowym przedziale czasowym (na wszystkich serwerach) wygeneruje alert. Tego rodzaju nagios nie są w stanie zrobić samodzielnie.
Wcześniej używaliśmy SEC do generowania tego rodzaju alertów, ale to nie działało tak dobrze i ktoś nadal musiał próbować użyć grep na pliku 20 GB.
Nie jestem pewien, czy wygenerowaliśmy już jakieś powiadomienia nagios; większość, jeśli nie wszystkie, zmieniliśmy na generowanie biletów RT. Model ostrzegania nagios tak naprawdę nie działa dobrze dla rzeczy opartych na analizie dziennika, jest lepszy w rzeczach o stanie, który może być dobry lub zły, a nie dyskretnym zdarzeniu, które może wymagać zbadania.
EDYTOWAĆ:
Tak, to naprawdę ułatwia nam życie. To znacznie lepsze niż próba przeszukiwania dzienników. Mamy skrzynki Windows, Linux i Solaris wysyłające dzienniki.
Czy magicznie znajduje dokładnie to, co chcesz, jak sugerują niektóre filmy? Nie, ma pewne ograniczenia i może być konieczne trochę konfiguracji, aby dobrze obsługiwać określone typy dzienników. Nadmiernie „interesujące” wyszukiwania mogą wymagać przeczytania dokumentów, a następnie odczekania kilku minut, aż serwer splunk się odejdzie. Ale poważnie, to kołysze. Z tego, co widziałem, naprawdę nie ma nic więcej w tej lidze.
Pracowałem zarówno z Splunk, jak i Nagios, i mają one dwie wyraźne różnice.
Splunk sprawia, że przeszukiwanie dzienników jest znacznie prostsze i łatwiejsze. Zapisanie wyszukiwań typowych problemów może być nieocenione przy identyfikowaniu problemów. Mam 2 serwery Splunk w różnych lokalizacjach, oba używają bezpłatnej edycji, ponieważ ceny były poza zakresem, a dzienna indeksowana kwota nie wystarcza, aby wymagać zakupu.
Z drugiej strony Nagios stanowi doskonałą, aktywną platformę monitorowania. Mam 5 serwerową rozproszoną platformę Nagios monitorującą wiele lokalizacji geograficznych. To bardzo różni się od Splunk, który monitoruje pliki logów, Nagios może mieć napisane wtyczki sprawdzania usługi, aby monitorować prawie wszystko aktywnie i umożliwiać powiadamianie o problemach, abyś mógł je rozwiązać.
Uważam, że oba razem dają znacznie lepszy obraz i pomagają w utrzymaniu sieci. Zwłaszcza jeśli jest to zespół kontra indywidualny wysiłek. Każdy zaangażowany może zobaczyć to samo zdjęcie.
źródło
To jest bezpłatne tylko do 500 MB dziennie przetwarzania dziennika. Przetestowałem to i nawet jeśli pozostajesz poniżej 500 MB / dzień, zauważyłem, że wiele bardziej „zaawansowanych” funkcji wymaga prawdziwej licencji. Do prawidłowego działania wymaga także wielu zasobów sprzętowych.
Wiem o firmie, która korzysta z niej na bardzo dużą skalę, ale kosztuje to również bardzo duże pieniądze (licencje niższej klasy to wiele tysięcy dolarów).
Robi też inne rzeczy niż Nagios. Splunk wydaje się lepszy do śledzenia trendów lub szukania osobliwości w długoterminowych danych, a Nagios lepiej jest w stanie natychmiast zareagować.
źródło
Wersja Enterprise jest bardzo bardzo kosztowna, której używasz w środowisku na dużą skalę. To jest powód, dla którego go nie wykorzystaliśmy.
źródło
Splunk nie analizuje danych dziennika, co utrudnia lub uniemożliwia tworzenie raportów obejmujących systemy o różnych formatach dziennika. Uniemożliwia również dokonanie rzeczywistej korelacji, ponieważ nie ma spójnej taksonomii, z którą można by ją skorelować.
źródło
Przetestowałem Splunk i stwierdziłem, że jest on bardzo przydatny przy wyszukiwaniu ADHOC. Jednak korzystam z LogLogic już od kilku lat jako MSSP, ponieważ jest to urządzenie dostosowane do obsługi 75 000 MPS, obsługuje architekturę rozproszoną, zapewnia wbudowaną integralność sum kontrolnych MD5 (dla medycyny sądowej) i ma wiele indeksuje raporty, wyrażenia regularne i filtry wyszukiwania logicznego wstępnie skonfigurowane dla większości źródeł dzienników.
źródło