大規模な本番環境でSplunkを使用している人はいますか？

Question

私はsplunk.comでビデオを見てきましたが、これらすべての機能を無料で入手できるとは信じがたいですが、それでも「どこに問題があるのでしょうか」ということはあります。私の頭の後ろに。

したがって、実際にSplunkを本番環境で使用している人が、たとえばNagiosよりも優れている点を強調して、経験を共有したい場合は素晴らしいと思います。

よろしくお願いします。

freiheit · Accepted Answer

1日あたり7GB以上のデータに使用していますが、料金は支払います。たくさん。少しアカデミックな割引を受けられると思いますが、ほとんどの場合、ログを誰かまたは何かが見ていることについて監査人を満足させたので、お金を使うことは正当化できました。

私たちはまたnagiosを使用します。 nagiosアラートを生成するか、 [〜＃〜] rt [〜＃〜] チケットを作成するスクリプトを呼び出す保存済み検索を使用してnagiosを構成しました。したがって、たとえば、（すべてのサーバーで）5分の時間枠でXを超えるログインが失敗すると、アラートが生成されます。それは、nagiosがそれ自体では実際にはできないようなことです。

以前は [〜＃〜] sec [〜＃〜] を使用してこれらの種類のアラートを生成していましたが、うまく機能せず、誰かが20GBファイルでgrepを使用する必要がありました。時々。

Nagiosアラートが生成されているかどうかはわかりません。そのすべてではないにしても、ほとんどをRTチケットの生成に切り替えました。nagiosアラートモデルは、ログ分析に基づくものでは実際にはうまく機能しません。状態のあるものに適しています。調査が必要になる可能性のある個別のイベントではなく、それは良いか悪いかのどちらかです。

編集：

はい、それは本当に私たちの生活をずっと楽にします。ログを介してgrepを試みるよりもはるかに優れています。ログを送信するWindows、Linux、Solarisボックスがあります。

いくつかのビデオが暗示しているように、それはあなたが望むものを魔法のように正確に見つけますか？いいえ、いくつかの制限があり、特定の種類のログを適切に処理するには、少し構成を行う必要がある場合があります。また、過度に「興味深い」検索では、ドキュメントを読んでから、splunkサーバーがチャーンするまで数分待つ必要があります。しかし、真剣に、それは揺れる。私が見たところ、そのリーグには他に何もありません。

Jeremy Bouse · Answer

私はSplunkとNagiosの両方を使用してきましたが、2つの明確な違いがあります。

Splunkを使用すると、ログの検索がはるかに簡単になります。一般的な問題の検索を保存すると、問題の特定に非常に役立ちます。異なる場所に2つのSplunkサーバーがあり、価格が範囲外であり、毎日のインデックスの量では追加購入を必要としないため、どちらも無料版を使用しています。

一方、Nagiosは優れたアクティブな監視プラットフォームになります。複数の地理的位置を監視する5サーバー分散Nagiosプラットフォームがあります。ログファイルを監視するSplunkとは非常に異なります。Nagiosは、ほぼすべてをアクティブに監視し、問題を通知して問題を解決できるようにするサービスチェックプラグインを作成できます。

2つを組み合わせると、はるかに優れた状況が得られ、ネットワークの維持に役立ちます。特にそれがチーム対個人の努力である場合。関係する誰もが同じ絵を見ることができます。

David · Answer

最大500MB /日のログ処理のみ無料です。私はそれをテストし、500MB /日未満にとどまっている場合でも、より「高度な」機能の多くには実際のライセンスが必要であることがわかりました。また、適切に機能するには、多くのハードウェアリソースが必要です。

非常に大規模に使用している会社を知っていますが、それも非常に高額です（ローエンドのライセンスは数千ドルです）。

Nagiosとは異なることもします。 Splunkは傾向の追跡や長期データの特殊性を探すのに適しているようです。Nagiosはすぐに反応できるので優れています。

John · Answer

Splunkは実際にはログデータを解析しないため、異なるログ形式のシステムにまたがるレポートを作成することは困難または不可能です。また、相関する一貫した分類法がないため、実際の相関を行うことができなくなります。

David Pashley · Answer

Enterprise Editionは非常にコストがかかります。これは、大規模な環境で使用するバージョンです。これが私たちがそれを使用しなかった理由です。

TrevJen · Answer

Splunkをテストしたところ、ADHOC検索に非常に役立つことがわかりました。ただし、LogLogicは75,000 MPSを処理するように調整されたアプライアンスソリューションであり、分散アーキテクチャをサポートし、組み込みのMD5チェックサムファイル整合性（フォレンジック用）を提供し、多くの機能を備えているため、ここ数年MSSPとして使用しています。ほとんどのログソース用に事前に構築されたインデックスレポート、正規表現、ブール検索フィルター。