Question Alternatives à Splunk?


Je suis assez impressionné Splunk, en particulier la version 4. Jolis graphiques, alertes (Enterprise uniquement), et recherche rapide et précise. C'est un très bon produit.

Cependant, le coût est bien trop élevé pour que notre société puisse l'utiliser à plein rendement. Tout ce dont nous avons besoin, c’est d’être capable d’indexer différents journaux dans un emplacement central et d’effectuer une recherche raisonnable à ce sujet. Avoir des alertes basées sur une recherche sauvegardée est également très agréable. Nous ne dépassons pas vraiment cela.

En fait, notre utilisation la plus importante a été le déploiement de nouvelles applications. Tout est enregistré via log4net dans le journal des événements sous Windows ou dans un fichier texte sous Linux. Avec Splunk, il est assez facile de rechercher rapidement parmi ces éléments pour s'assurer que toutes les parties de l'application fonctionnent correctement. Cela nous a fait gagner beaucoup de temps par rapport à la recherche de sources de journalisation individuelles.

Quelles alternatives existent sur ce marché? J'ai le sentiment que les prix de Splunk sont si élevés parce qu'ils ont de loin le meilleur produit, et ils le savent. Nous voulons que le serveur fonctionne sous Windows.

Je serais ouvert à un modèle fractionné utilisant un seul produit pour les journaux généraux (collectés via syslog / Snare) et un produit dédié pour nos applications personnalisées (comme Tableau de bord Log4Net).

L'utilisation d'un serveur Syslog simple, tel que Kiwi, envoyé à SQL Server (éventuellement avec Fulltext activé) fonctionnerait-elle?

J'espère que le coût devrait être bien inférieur à 5 chiffres, USD. (Et oui, je sais, nous sommes bon marché. Nous sommes une start-up avec peu d'argent et BizSpark s'occupe de toutes nos licences MS.)

Edit: Je dois ajouter que nous avons environ 10 serveurs physiques, 20 machines virtuelles et quelques pare-feu et commutateurs. 90% est Windows.


76
2017-09-05 11:14


origine


Voir aussi ce post SO: stackoverflow.com/questions/183977/… - warren
Que couvre BizSpark? La série System Center semble être la route de surveillance Windows normale, Operations Manager en particulier ... - Oskar Duveborn
Quoi est Splunk pricing, quand même? Je ne l'ai pas vu sur leur site web ...? - Peter Mounce
Le prix Splunk est dangereux! Indexer 5 Go / jour de données représente plus de 30 000 USD pour une licence perpétuelle. (Méfiez-vous des entreprises qui n'affichent pas de prix sur leur site Web!) - samsmith


Réponses:


Note: Tout ceci concerne Linux et logiciel gratuit, c’est ce que j’utilise le plus souvent, mais vous devriez pouvoir utiliser un client Syslog sous Windows pour envoyer les journaux à un serveur Linux Syslog.

Se connecter à un serveur SQL: Avec seulement ~ 30 machines, vous devriez pouvoir utiliser n'importe quel système centralisé identique à syslog et un backend SQL. j'utilise syslog-ng et MySQL sur Linux pour cette chose même.

Jolies interfaces Les graphes sont le problème principal - Il semble qu’il existe de nombreux frontaux piratés qui vont récupérer des éléments dans les journaux et indiquer le nombre de hits, alertes, etc., mais je n’ai rien trouvé d’intégré et de propre. Certes, c’est la principale chose que vous recherchez ... (Si je trouve quelque chose de bon, je mettrai à jour cette section!)

En alerte: J'utilise SECONDE sur un serveur Linux pour détecter les incidents dans les journaux et m'avertir de différentes manières. C'est incroyablement flexible et pas aussi facile que Splunk. Il y a un bon tutoriel ici qui guide à travers beaucoup des fonctionnalités possibles.

J'utilise aussi Nagios pour les graphiques de diverses statistiques et certaines alertes que je ne reçois pas des journaux (comme lorsque les services sont en panne, etc.). Cela peut être facilement personnalisé pour ajouter des graphiques de tout ce que vous voulez. J'ai ajouté des graphiques d'éléments tels que le nombre d'accès à un serveur http, en demandant à l'agent d'utiliser le check_logfiles plugin pour compter le nombre de résultats dans les journaux (il enregistre la position qu’il obtient pour chaque période de vérification).

Global, cela dépend de combien de temps il vous en coûtera pour le configurer, car il existe de nombreuses options que vous pouvez utiliser mais elles ne sont pas aussi intégrées que Splunk et nécessiteront probablement plus d’efforts pour faire ce que vous voulez. Les graphiques de Nagios sont faciles à configurer, mais ne vous donnent pas de données historiques avant de les ajouter, alors que Splunk (et probablement d’autres interfaces) vous permet de consulter les journaux passés et les éléments graphiques que vous venez tout juste de copier. pensé à regarder d'eux.

Notez également que le format de base de données SQL et l’indexation auront une énorme effet sur la vitesse des requêtes, votre idée d’indexation en texte intégral augmentera donc considérablement la vitesse des recherches. Je ne sais pas si MySQL ou PostgreSQL va faire quelque chose de similaire.

modifier : MySQL fera l’indexation en texte intégral, mais  uniquement sur les tables MyISAM avant MySQL 5.6. En 5.6, le support pour InnoDB a été ajouté.

modifier: Postgresql peut bien sûr effectuer une recherche en texte intégral: http://www.postgresql.org/docs/9.0/static/textsearch.html


30
2017-09-08 11:01





Plus axé sur * nix que Windows, mais poulpe supporte windows, et semble viser le même genre de chose que splunk.


7
2017-09-08 11:25



Le lien est cassé. Pourriez-vous s'il vous plaît le réparer? - Martijn Heemels
Link semble fonctionner ici. - 3dinfluence
Je l'ai édité. Bien que ce ne fut pas vraiment difficile de trouver le bon lien. - Cian
Ouais ... je ne visite pas un site web avec 8pussy dans le nom de domaine au travail - Mark Henderson♦


Je suis en train d'essayer plusieurs solutions de surveillance, mais je veux surtout surveiller les fenêtres. La plupart des systèmes sont adaptés à la surveillance SNMP, ce qui permet d'extraire une quantité remarquable d'informations sans agents.

Voici quelques-uns des systèmes que j'ai essayés jusqu'à présent:

Nagios - Open source. Un cochon à configurer mais très coté et qui semble très flexible. Il semble s'agir essentiellement d'un compteur et ne permet pas l'exécution de script à distance et ne peut donc pas être utilisé pour résoudre des problèmes de configuration, ni dans le centre système MS ni dans Kaseya. Sans agent, mais est essentiellement inutile sans l'outil NSclient installé sur chaque client.

Cacti - Outil graphique simple et direct basé sur l'extraction de statistiques snmp. Sans agent.

OpsView - Basé sur Nagios mais plus facile à configurer et doté d’un meilleur frontal.

HypericHQ - Facile à utiliser sous Windows. La version de base est gratuite et fait beaucoup. Il existe une entreprise commerciale HypericHQ. L'agent doit être installé sur chaque client.

Zabbix - Un autre outil de surveillance intéressant. C'est plus facile à utiliser que nagios. A un agent que vous pouvez installer sur Windows et les ordinateurs clients. Je n'ai que peu exploré celui-ci jusqu'à présent.

Zenoss - Open source. J'ai été très impressionné par le professionnalisme de Zenoss. Il s’agit d’un moniteur basé sur SNMP et de nombreuses extensions permettant de surveiller les utilisateurs HP, les services Windows, le serveur ms sql et mysql. Les extensions fonctionnent toutes via SNMP, de sorte que rien ne doit être installé sur les ordinateurs clients. Je n'ai pas encore tout exploré et il semble y avoir beaucoup de fonctionnalités que je n'ai pas encore exploitées. Il est basé sur Zope, donc à moins que vous ne maîtrisiez parfaitement les installations de Zope, je vous recommande de télécharger le VM pré-préparé - cela fonctionne comme un rêve tout droit sorti de la boîte.

Sur le plan commercial, vous pouvez jeter un coup d'œil à quelques outils:

Kaseya - coûte environ 6 000 euros par an pour 250 nœuds, si je me souviens bien, mais est un outil superbe et une communauté d'utilisateurs très active. Il est destiné au marché des MSP et permet de surveiller plusieurs systèmes d’entreprise. Il peut être utilisé en interne sans problèmes.

GFI Hounddog - plus simple que Kaseya mais très bon marché pour le moment. Ça vaut vraiment le coup d'oeil.

Il existe un certain nombre de solutions vendues en tant que systèmes MSP mais qui sont essentiellement combinées moniteurs et administrateurs distants.

Ian


6
2017-09-30 09:40





Pour une journalisation centralisée avec de nombreuses fonctionnalités, je ne peux que vous recommander rsyslog assez. C’est un serveur syslog open source qui peut fonctionner avec bonheur en remplacement direct du syslogd que vous connaissez et aimez. C'est maintenant le démon de choix syslog pour Ubuntu et je pense que Red Hat et Fedora pourraient également s'engager dans cette voie. J'ai trouvé qu'il était beaucoup plus facile de démarrer et de faire ce que vous voulez comme syslog-ng.

Actuellement, dans notre boutique, nous avons deux serveurs centraux rsyslog (un sur chaque site) qui reçoivent les journaux de centaines de serveurs. J'ai des alertes automatiques par e-mail chaque fois que quelque chose dans syslog déclenche une alerte ou une alerte supérieure (avec quelques modifications, bien sûr, certaines applications sont un peu alarmistes). Je pourrais probablement faire un peu plus intelligent comme le faire envoyer des choses à Nagios ou autres, mais cela nous couvre suffisamment pour nos besoins pour le moment.

Tout cela va aussi dans une base de données mysql (il y a aussi un support pour Oracle ou postgresql si c'est comme ça).

Il y a aussi un interface web et un agent Windows pour l'envoi de journaux Eventlog au serveur rsyslog également. L’interface Web n’est évidemment pas aussi élégante que le splunk, mais le travail est fait pour 0 $.


6
2018-05-27 14:44





Jeter un coup d'œil à http://www.codeplex.com/polymon

Son source ouverte, utilise SQL Server en arrière-plan et possède une interface utilisateur élégante


2
2017-09-08 10:23



Cela semble être plus une solution de surveillance, comme Nagios? - MichaelGG


Je suis d'accord que Splunk est génial. Pour les petits environnements à dominante Linux, vous voudrez peut-être regarder quelque chose comme: epylog.

Nous l'avons utilisé à l'un des endroits où je travaillais, et c'était très bien pour ce que nous voulions.

Vous ne savez pas à quel point il gérera les messages Windows syslog envoyés à un collecteur syslog Linux, mais cela peut valoir le coup.


2
2017-09-08 10:18





Il suffit de faire un lien vers ma réponse, où:

Splunk est incroyablement cher: quelles sont les alternatives?

Modifier (nouveaux projets):

le LogStash et Graylog2 les projets semblent très intéressants

Voici quelques vidéos: un  deux.


2
2018-03-03 03:09



Mieux vaut mettre votre réponse de l’autre question ici parce que celle-ci est un doublon évident de celle-ci et devrait être fusionnée / fermée :) - warren


Quelque chose comme GFI EventsManager pourrait faire l'affaire pour environ 4 k $.

  • Analyse des journaux d'événements, y compris les interruptions SNMP, les journaux d'événements Windows, les journaux W3C et Syslog
  • Alertes en temps réel, alertes SNMPv2 incluses
  • Afficher les rapports sur les informations de sécurité clés en cours
  • Enregistrement centralisé des événements
  • Supprimez le «bruit» ou les événements triviaux qui constituent un ratio élevé de sécurité. événements
  • Surveillance et alerte en temps réel 24 heures sur 24, 7 jours sur 7, 365 jours par an
  • Surveiller graphiquement le statut de GFI EventsManager et de votre réseau via le moniteur de statut intégré
  • Prise en charge des environnements virtuels

1
2017-09-08 10:49