Réflexions sur Free Splunk

J'envisage de mettre en œuvre Splunk dans mon entreprise, mais je me méfie de l'investissement financier. J'ai remarqué qu'il existe une version gratuite de Splunk qui semble être assez bonne.

Quelqu'un peut-il me dire si vous utilisez la version gratuite dans votre entreprise? Trouvez-vous la version gratuite adéquate, ou juste un tremplin pour l'achat éventuel?

Nous utilisons gratuitement Splunk avec OSSEC sur plusieurs clients et il est parfaitement utilisable. Bien sûr, il a quelques limitations par rapport à la version non gratuite:

• Limite de 500 Mo par jour (avec deux ou trois pics autorisés par mois): si vous ne générez pas autant de données, cela ne vous affectera pas
• Authentification: Splunk gratuit ne l'a pas. Nous utilisons apache et http_auth pour surmonter cette limitation. Ce n'est pas une solution parfaite mais assez bonne. Si vous êtes le seul utilisateur, vous pouvez l'exécuter sur localhost.
• Différents utilisateurs: Splunk gratuit n'a qu'un seul utilisateur. Vous n'avez donc pas de tableaux de bord et de personnalisation personnalisés. Encore une fois, si vous recherchez tous la même chose et que vous ne vous souciez pas du partage ou que vous êtes le seul, cela ne devrait poser aucun problème.

Dans l'ensemble, le Splunk gratuit (en particulier la version 4) est un produit en soi et peut être utilisé en production sans soucis, sauf si vous avez besoin des fonctionnalités supplémentaires de la version non gratuite.

Dans l'ensemble, le Splunk gratuit (en particulier la version 4) est un produit en soi et peut être utilisé en production sans soucis, sauf si vous avez besoin des fonctionnalités supplémentaires de la version non gratuite.

Si vous avez de petites quantités de données à indexer, ce qui précède est vrai.

Ce que nous avons découvert, c'est que si vos données sont dans la plage de la limite, vous êtes en PROBLÈME.

Nous avons pensé: Heck, 500mb / jour, c'est beaucoup. Si nous le dépassons, ce n'est pas grave, nous ne pourrons en rechercher que 500 Mo.

Faux!

Selon le site de réponses Splunk , si vous atteignez les limites, la fonction Splunk Search est désactivée ... pendant DAYS à la fois.

Cela TUE efficacement votre système splunk (si vous ne pouvez pas rechercher, l'ensemble du système est à peu près aussi utile qu'un sac de sable).

«Si vous dépassez votre volume quotidien sous licence au cours d'une journée civile, vous recevrez un avertissement de violation. Le message persiste pendant 14 jours. Si vous avez 5 violations ou plus sur une licence Enterprise ou 3 violations sur une licence gratuite dans un 30 période de deux jours, la recherche sera désactivée. Les capacités de recherche reviennent lorsque vous avez moins de 5 violations (Enterprise) ou 3 (gratuites) au cours des 30 derniers jours ou lorsque vous appliquez une nouvelle licence avec une limite de volume plus importante.

Remarque: Pendant une période de violation de licence, Splunk n'arrête pas d'indexer vos données. Splunk ne bloque l'accès que lorsque vous dépassez votre licence.

Donc, même si vous avez une licence payante, si vous atteignez les limites, vous pouvez effectivement désactiver le système.

Vous ne pouvez même pas changer le mot de passe administrateur par défaut avec la licence gratuite. Cela signifie que n'importe qui sur le réseau peut envoyer des données à l'indexeur / transitaire avec les informations d'identification admin: changeme par défaut.

Pensez-y.

Nous sommes une équipe de 12 personnes dans une grande entreprise de médias à Londres. Nous avons une licence d'entreprise de plus de 100 Go pour l'entreprise dans son ensemble, mais notre équipe gère toujours un serveur distinct avec la version gratuite. Cela nous donne plus de liberté pour jouer avec les configurations et indexer des lots de données `` uniques '' qui autrement prendraient plus de temps sur notre système de production en raison des droits d'accès et des contrôles de modification.

C'est une sorte d'environnement de développement / test pour Splunk, mais nous avons également beaucoup de recherches et de tableaux de bord que nous utilisons tout le temps et que nous n'avons aucune envie de passer à la production. Alors oui, la version gratuite est utile.