Question Réflexions sur Free Splunk


J'envisage de mettre en place Splunk dans mon entreprise mais je me méfie de l'investissement financier. J'ai remarqué qu'il existe une version gratuite de Splunk qui semble être assez bonne.

Quelqu'un peut-il me dire si vous utilisez la version gratuite dans votre entreprise? Trouvez-vous la version gratuite adéquate ou simplement un tremplin pour l’achat éventuel?


12
2018-04-20 21:54


origine




Réponses:


Nous utilisons gratuitement Splunk ensemble avec OSSEC sur plusieurs clients et c'est parfaitement utilisable. Bien sûr, il a quelques limitations par rapport à la version non-libre:

  • Limite de 500 Mo par jour (avec deux ou trois pics autorisés par mois): si vous ne générez pas autant de données, cela ne vous affectera pas.
  • Authentification: Splunk gratuit ne l’a pas. Nous utilisons apache et http_auth pour surmonter cette limitation. Ce n'est pas une solution parfaite mais suffisante. Si vous êtes le seul utilisateur, vous pouvez l'exécuter sur localhost.
  • Différents utilisateurs: Splunk gratuit n'a qu'un seul utilisateur. Ainsi, vous n'obtenez pas de tableaux de bord et de personnalisation personnalisés. Encore une fois, si vous recherchez tous la même chose et ne vous souciez pas du partage ou si vous êtes le seul, il ne devrait y avoir aucun problème.

Globalement, Splunk gratuit (en particulier la version 4) est un produit en soi et peut être utilisé en production sans soucis, à moins que vous n'ayez besoin des fonctionnalités supplémentaires de la version non-gratuite.


14
2018-04-20 22:01



Free Splunk n'autorisera pas non plus les recherches programmées, ce qui, d'après mon expérience, entrave considérablement la convivialité du produit. - thepocketwade
Soit dit en passant, il y a 5 'violations de licence' par mois. Lorsque le 6ème événement survient, il continue à accepter et à indexer les événements, mais vous ne pouvez pas rechercher ces événements tant que vous n'avez pas augmenté votre licence. - Chopper3


Globalement, Splunk gratuit (en particulier la version 4) est un produit en soi et     peut être utilisé en production sans soucis, sauf si vous en avez besoin     les fonctionnalités ajoutées de la version non-libre.

Si vous devez indexer de petites quantités de données, ce qui précède est vrai.

Ce que nous avons découvert, c’est que si vos données se situent dans la plage de la limite, vous êtes dans TROUBLE.

Nous avons pensé: Heck, 500 Mo / jour, c'est beaucoup. Si nous le dépassons, ce n'est pas grave, nous ne pourrons en rechercher que 500 Mo.

Faux!

Selon le site de réponses splunk, si vous atteignez les limites, la fonction de recherche Splunk est désactivée ... pour les JOURS à la fois.

Cela tue efficacement votre système splunk (si vous ne pouvez pas rechercher, tout le système est à peu près aussi utile qu'un sac de sable).

"Si vous dépassez votre volume quotidien sous licence un jour calendrier, vous recevrez un avertissement relatif à une violation. Le message persiste pendant 14 jours. Si vous avez 5 violations ou plus sur une licence Entreprise ou 3 violations sur une licence Libre sur 30 La capacité de recherche est rétablie lorsque vous avez moins de 5 violations (Entreprise) ou 3 (gratuites) au cours des 30 derniers jours ou lorsque vous appliquez une nouvelle licence avec une limite de volume supérieure.

Remarque: pendant une période de violation de licence, Splunk n'arrête pas d'indexer vos données. Splunk ne bloque que l'accès lorsque vous dépassez votre licence.

Ainsi, même si vous avez une licence payante, si vous atteignez les limites, vous pouvez effectivement désactiver le système.


3
2018-02-23 22:24





Vous ne pouvez même pas changer le mot de passe administrateur par défaut avec la licence gratuite. Cela signifie que n'importe qui sur le réseau peut envoyer des données à l'indexeur / redirecteur avec les informations d'identification admin: changeme par défaut.

Pensez-y.


1
2018-01-20 00:19





Nous sommes une équipe de 12 personnes dans une grande entreprise de médias à Londres. Nous disposons d’une licence d’entreprise supérieure à 100 Go pour l’ensemble de la société, mais notre équipe utilise toujours un serveur séparé avec la version gratuite. Cela nous donne plus de liberté pour jouer avec les configurations et indexer des lots de données «ponctuels» qui, autrement, prendraient plus de temps sur notre système de production en raison de droits d'accès et de contrôles de changement.

C’est une sorte d’environnement de développement et de test pour Splunk, mais nous avons également beaucoup de recherches et de tableaux de bord que nous utilisons tout le temps et que nous n’avons aucune envie de passer à la production. Alors oui, la version gratuite est utile.


1
2018-06-02 10:36