Nous l'utilisons pour 7 + Go de données par jour, mais nous payons pour cela. Beaucoup. Je pense que nous obtenons un peu de remise académique, mais surtout nous avons réussi à justifier de dépenser l'argent parce que cela satisfaisait les auditeurs d'avoir quelqu'un / quelque chose en train de regarder nos journaux.
Nous utilisons également des nagios. Nous avons configuré les nagios avec des recherches enregistrées qui appellent des scripts qui génèrent des alertes nagios ou créent des tickets RT . Ainsi, par exemple, plus de X échecs de connexion dans une fenêtre de temps de 5 minutes (sur tous les serveurs) généreront une alerte. C'est le genre de chose que les nagios ne peuvent pas vraiment faire par eux-mêmes.
Auparavant, nous utilisions SEC pour générer ce type d'alertes, mais cela ne fonctionnait pas aussi bien et quelqu'un devait encore essayer d'utiliser grep sur un fichier de 20 Go de temps en temps.
Je ne suis pas sûr que des alertes nagios soient générées; nous avons passé la plupart, sinon la totalité, à la génération de tickets RT. Le modèle d'alerte nagios ne fonctionne pas vraiment bien pour les choses basées sur l'analyse des journaux, il est meilleur dans les choses avec un état qui peut être bon ou mauvais, pas un événement discret qui peut nécessiter une enquête.
ÉDITER:
Oui, cela nous facilite vraiment la vie. C'est nettement mieux que d'essayer de parcourir les journaux. Nous avons des boîtes Windows, Linux et Solaris pour lui envoyer des journaux.
Est-ce qu'il trouve comme par magie exactement ce que vous voulez comme le suggèrent certaines vidéos? Non, il y a quelques limitations et vous devrez peut-être faire un peu de configuration pour qu'il gère bien certains types de journaux. Et les recherches trop «intéressantes» peuvent nécessiter de lire les documents et d'attendre quelques minutes pendant que le serveur splunk tourne. Mais, sérieusement, ça bascule. D'après ce que j'ai vu, il n'y a vraiment rien d'autre dans sa ligue.
J'ai travaillé avec Splunk et Nagios et ils servent deux différences distinctes.
Splunk rend la recherche dans les journaux beaucoup plus simple et plus facile à faire. La sauvegarde des recherches de problèmes courants peut être très utile pour identifier les problèmes. J'ai 2 serveurs Splunk dans différents endroits, ils utilisent tous les deux l'édition gratuite car le prix était hors de portée et le montant indexé quotidien n'est pas suffisant pour exiger l'achat de plus.
Nagios, d'autre part, constitue une excellente plate-forme de surveillance active. J'ai une plate-forme Nagios distribuée sur 5 serveurs qui surveille plusieurs emplacements géographiques. Il est très différent de Splunk qui surveille les fichiers journaux, Nagios peut avoir des plugins de vérification de service écrits pour surveiller pratiquement n'importe quoi et vous permettre d'être informé des problèmes afin que vous puissiez les résoudre.
Je trouve que les deux ensemble donnent une bien meilleure image et aident à maintenir un réseau. Surtout si c'est une équipe contre un effort individuel. Toutes les personnes impliquées peuvent voir la même image.
la source
Il est gratuit jusqu'à 500 Mo / jour de traitement des journaux. Je l'ai testé et même si vous restez en dessous de 500 Mo / jour, j'ai trouvé que beaucoup des fonctionnalités les plus "avancées" nécessitent une vraie licence. Cela nécessite également beaucoup de ressources matérielles pour fonctionner correctement.
Je connais une entreprise qui l'utilise à très grande échelle, mais cela coûte aussi très cher (les licences bas de gamme coûtent plusieurs milliers de dollars).
Il fait aussi des choses différentes de Nagios. Splunk semble mieux pour suivre les tendances ou rechercher des particularités dans les données à long terme et Nagios est meilleur pour pouvoir réagir immédiatement.
la source
L'édition entreprise est très très coûteuse, c'est la version que vous utiliseriez dans un environnement à grande échelle. C'est la raison pour laquelle nous ne l'avons pas utilisé.
la source
Splunk n'analyse pas réellement les données de journal, ce qui rend difficile, voire impossible, la création de rapports couvrant des systèmes avec différents formats de journal. Il est également impossible de faire une corrélation réelle car il n'y a pas de taxonomie cohérente avec laquelle effectuer la corrélation.
la source
J'ai testé Splunk et l'ai trouvé très utile pour les recherches ADHOC. Cependant, j'utilise LogLogic depuis plusieurs années en tant que MSSP car il s'agit d'une solution d'appliance configurée pour gérer jusqu'à 75 000 MPS, elle prend en charge une architecture distribuée, fournit une intégrité de fichier de contrôle MD5 intégrée (pour la criminalistique) et possède de nombreux rapports d'index, regex et filtres de recherche booléens prédéfinis pour la plupart des sources de journaux.
la source