Question Solutions d'agrégation de journaux


Nous évaluons actuellement les solutions d'agrégation de journaux dans mon entreprise. Je comprends que Splunk est l’une des meilleures solutions, mais quels sont les inconvénients de l’utilisation de Splunk? Y a-t-il autre chose qui fait peut-être un meilleur travail d'agrégation de journaux?


5
2018-04-09 22:37


origine


Nous essayons d'agréger environ 5 Go / jour de nos données de journal d'application. Principalement pour le stocker et le rechercher; Nous recherchons des problèmes avec notre application, le débogage de développeur, le support, etc. Notre application est distribuée sur plusieurs centaines de sites clients distants (partout aux États-Unis - et est en croissance) et nous devons centraliser nos journaux car nous n'avons pas accès à les journaux bruts sans passer par les différents groupes d’administrateurs système du client. Cela est devenu fastidieux pour notre personnel de support applicatif et nos développeurs. - pdaddy


Réponses:


Nous utilisons Splunk (la version gratuite) et nous l’avons trouvé très efficace. Pour mieux répondre à votre question, il faudrait que je sache quel type de journaux vous souhaitez analyser. Vous pouvez compter sur l'analyse de Syslog et de nombreux autres types de fichiers journaux. Cependant, pour les journaux d'événements Windows, vous pouvez toujours les regrouper, mais vous devez installer Splunk sur un ordinateur Windows. Pas nécessairement un négatif, mais quelque chose à considérer. La version gratuite vous permettra de rassembler autant de sources que vous le souhaitez, mais la quantité de données par jour est limitée (je pense que c'est 500 Mo / jour). Je ne sais pas exactement ce que propose l'édition entreprise, mais je me souviens de lui avoir une quantité illimitée de données à indexer, plusieurs comptes d'utilisateurs et la possibilité d'avoir plusieurs serveurs pour l'indexation et la recherche.

Certains des inconvénients que j'ai vus avec notre édition gratuite concernent les recherches et les notifications enregistrées. Son utilisation pour la recherche est très puissante, et la notification est basée sur des recherches enregistrées, mais il s’agit d’un processus manuel pour chaque recherche. Il peut envoyer automatiquement les résultats par courrier électronique, mais cela affiche le format brut du journal. Afin d'avoir de meilleures notifications par courrier électronique, j'ai dû créer des scripts pour chaque recherche sauvegardée afin d'envoyer le courrier comme je le souhaite. Je suis sûr que je l'utilise probablement différemment de la manière dont il a été conçu, mais il faut faire attention si vous envisagez les mêmes utilisations.


1
2018-04-10 14:30





Splunk est fantastique. Le seul inconvénient est que vous êtes limité sur le nombre de journaux que vous pouvez analyser avec la version gratuite. Si vous êtes prêt à payer pour Enterprise, c'est probablement la meilleure solution.


0
2018-04-09 22:47