Splunkを使用しますか？

Question

私は http://www.splunk.com でビデオを見ています。IT管理に不慣れな人として、これは私を始めるための素晴らしい解決策のようです。しかし、私には懸念があります。私はcPanelから移動したばかりで、他の重くて行き詰まり、過負荷のシステムに依存することになりたくありません。使っている人はいないかと思いますが、使っているとしたら、何が好きですか、嫌いですか？

サーバーログを分類し、サーバーが攻撃を受けているときを診断するのに役立つソリューションを本当に探しています。 Splunkは非常に優れたソリューションのように見えますが、より良いソリューション、できれば無料のソリューションはありますか？

BillThor · Accepted Answer

Logcheckパッケージをインストールします。 1時間に1回ログをスキャンし、通常とは見なされないものをメールで送信します。基本的に、過去1時間にログに入力されたもののうち、無視するルールがないものはすべてメールで送信されます。ログに含めるべきではないものを含める以外に、追加の攻撃ルールがあります。メールの件名は、ピックアップされた理由によって異なります。

私は通常、通常と思われるものを発見したので、ローカルの無視ファイルを作成しますが、既存の無視ルールはありません。

さまざまなsyslogの代替手段はすべてサーバー統合をサポートしているため、ログを単一のサーバーに転送できます。しかし、私はそれをする習慣がありませんでした。ログを転送する唯一のシステムは、OpenWRTファイアウォールです。

編集：私は仕事でSplunkを使用してログファイルを検索していますが、探している特定のログを知っている場合は、使用量が少なくなる可能性が高くなります。アラート機能はありますが、使用していません。私は彼らが既知の記録との一致について警告することを期待しています。アラートルールなしで新しい問題が発生した場合、これは多くの誤検知につながる可能性があります。私はlogcheckから得られるような誤検知を好む。ただし、Splunkの方がアラートの適時性が高い場合があります。

トリガーの原因となったケースについて、fail2banからタイムリーなアラートを受け取ります。また、元のソースのブラックリストエントリも保持します。

vmfarms · Answer

追加するもう1つのこと。当社は最近、Splunkの購入を検討しました。分析するログは間違いなく500MBを超えており、それらのライセンスモデルは法外に高価であることがわかりました。 Splunkは、人気の高まりを利用して、長年にわたってゆっくりと価格を上げてきました。 2年前に最初に見たとき、無料の制限は1GBで、ライセンス料は現在の半分でした。

Splunkは素晴らしいツールですが、現在の価格では、私は代替案について一生懸命考えます。

Babul A. Mukherjee · Answer

リモートsyslogには http://papertrailapp.com を使用し、強くお勧めします。アラートと検索フィルターを作成すると、驚くほど安価になります。

ampledata · Answer

Splunkは、実際にはcPanelと同じカテゴリのソフトウェアではありません。私が覚えていることから、cPanelはWebベースのシステム管理パッケージです。 Splunkは、データ分析およびアラートツールです。

そうは言っても、私たちのウェブサイトによると：

「Splunkを無料でダウンロードしてください。Splunkのすべてのエンタープライズ機能を60日間利用でき、1日あたり最大500メガバイトのデータにインデックスを付けることができます。60日後またはそれ以前であればいつでも永久無料ライセンスに変換できますまたは、エンタープライズライセンスを購入して、マルチユーザーエンタープライズ展開用に設計された拡張機能を引き続き使用します。」

言うまでもなく、ほとんどの平均的なサイズのシステムログデータセットで、Splunkを無料でダウンロードして使用できます。

サーバーが攻撃を受けているときの診断に関しては、Splunkがニーズを満たす場所です。今日の私のブログ投稿をチェックしてください。ここでは、誰かが無効な資格情報を使用してサーバーにログインしようとしたときにiPhoneアラートを設定する方法を紹介しています。

http://blogs.splunk.com/2010/08/16/how-to-use-notifo-to-receive-splunk-alerts-on-your-iphone/

ご不明な点がある場合や、当社製品の拡張デモライセンスをご希望の場合は、お気軽にpingをお送りください。

freiheit · Answer

そのようなことのためにSplunkを使用しています... WindowsおよびLinuxホストはすべてログをSplunkに転送し、アラートを生成するいくつかの「保存された検索」がSplunkにあります。すべてのユーザー名とシステムで「過去30分間にX回以上のログイン失敗」などを検出できるようにします（ただし、Windows、Linuxシステム、およびさまざまなアプリケーションをキャプチャするために、保存された検索は複雑です...）。また、今すぐログを検索するのにも最適です。

Splunkは、十分に小さいデータセットに対して無料にすることができます。

1日にSplunkに送信するデータの量、保持する量、実行する検索の量に基づいて、サーバーを適切にスケーリングする必要があります。そうしないと、行き詰まる可能性があります。

Splunkの前は、すべてのログが転送されたsyslogサーバーで [〜＃〜] sec [〜＃〜] を使用していました。保存された検索を作成するのははるかに難しく、事後に検索するためにgrepを置き換えることは実際には何もしません。それでもかなりまともです。