75 votes

Richard Morgan avatar

Alternatives à Splunk ?

Demandé el 5 de Septembre, 2009
Quand la question a-t-elle été
61250 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis assez impressionné par Splunk en particulier la version 4. De jolis graphiques, des alertes (uniquement pour les entreprises) et des recherches rapides et précises. C'est un excellent produit.

Cependant, le coût est beaucoup trop élevé pour envisager une utilisation en production complète pour notre entreprise. Tout ce dont nous avons vraiment besoin, c'est de pouvoir indexer différents journaux dans un endroit central et d'effectuer des recherches raisonnables. Avoir des alertes basées sur une recherche sauvegardée est également très agréable. Nous n'allons pas vraiment au-delà de cela.

En fait, nous l'avons surtout utilisé pour déployer de nouvelles applications. Tout est enregistré via log4net, soit dans le journal des événements sous Windows, soit dans un fichier texte sous Linux. Splunk permet d'effectuer rapidement des recherches dans ces fichiers pour s'assurer que toutes les parties de l'application fonctionnent correctement - cela nous a fait gagner beaucoup de temps par rapport à la recherche de sources de journalisation individuelles.

Quelles alternatives existent sur ce marché ? J'ai l'impression que les prix de Splunk sont si élevés parce qu'ils ont le meilleur produit, de loin, et qu'ils le savent. Nous voulons que le serveur fonctionne sous Windows.

Je serais ouvert à un modèle divisé, utilisant un produit pour les journaux généraux (collectés via syslog/Snare), et un produit dédié pour nos applications personnalisées (telles que Tableau de bord Log4Net ).

L'utilisation d'un simple serveur syslog tel que Kiwi, envoyé au serveur SQL (peut-être avec le texte intégral activé) fonctionnerait-elle ?

J'espère que le coût sera bien inférieur à 5 chiffres, USD. (Et oui, je sais, nous sommes bon marché. Nous sommes une startup avec peu d'argent, et BizSpark s'occupe de toutes nos licences MS).

Edit : Je devrais ajouter que nous avons environ 10 serveurs physiques, 20 VMs, et quelques pare-feu et commutateurs. 90% sont sous Windows.

Demandé el 5 de Septembre, 2009 par Richard Morgan

Réponses

Trop de publicités?

30voto

David Gardner avatar
David Gardner Points 1499

Note : Tout ceci concerne Linux et logiciel gratuit Mais vous devriez pouvoir utiliser un client syslog sous Windows pour envoyer les journaux à un serveur syslog Linux.

Connexion à un serveur SQL : Avec seulement ~30 machines, vous devriez vous en sortir avec à peu près n'importe quel système centralisé similaire à syslog et un backend SQL. J'utilise syslog-ng et MySQL sur Linux pour cette même chose.

De jolis frontaux Il semble qu'il y ait beaucoup de frontaux bidouillés qui récupèrent des éléments des journaux et montrent le nombre de hits, d'alertes, etc. mais je n'ai rien trouvé d'intégré et de propre. Il est vrai que c'est la principale chose que vous recherchez... (Si je trouve quelque chose de bien, je mettrai à jour cette section !)

Alerter : J'utilise SEC sur un serveur Linux pour trouver les mauvaises choses qui se produisent dans les journaux et m'alerter par diverses méthodes. C'est incroyablement flexible et pas aussi cliquetant que Splunk. Il y a un beau tutoriel ici qui vous guide à travers un grand nombre de fonctionnalités possibles.

J'utilise également Nagios pour les graphiques de diverses statistiques et certaines alertes que je n'obtiens pas à partir des journaux (comme lorsque les services sont hors service, etc.). Il peut être facilement personnalisé pour ajouter des graphiques de tout ce que vous voulez. J'ai ajouté des graphiques d'éléments tels que le nombre d'accès à un serveur http, en demandant à l'agent d'utiliser la commande vérifier les fichiers journaux plugin pour compter le nombre de hits dans les logs (il enregistre la position à laquelle il arrive pour chaque période de vérification).

Dans l'ensemble, cela dépend du temps que vous allez consacrer à la mise en place de ce système. Il existe de nombreuses options que vous pouvez utiliser, mais elles ne sont pas aussi intégrées que Splunk et nécessiteront probablement plus d'efforts pour obtenir ce que vous voulez. Les graphiques de Nagios sont simples à mettre en place, mais ils ne fournissent pas de données historiques antérieures à l'ajout du graphique, alors qu'avec Splunk (et probablement d'autres frontaux), vous pouvez consulter les anciens journaux et représenter graphiquement des choses auxquelles vous venez juste de penser.

Notez également que le format de la base de données SQL et l'indexation auront un impact sur la qualité des données. énorme sur la vitesse des requêtes, donc votre idée d'indexation en texte intégral augmentera considérablement la vitesse des recherches. Je ne suis pas sûr que MySQL ou PostgreSQL fassent quelque chose de similaire.

Modifier : MySQL fera l'indexation fulltext, mais uniquement sur les tables MyISAM avant MySQL 5.6. Dans la version 5.6, la prise en charge d'InnoDB a été ajoutée. .

Modifier : Postgresql peut faire une recherche plein texte bien sûr : http://www.postgresql.org/docs/9.0/static/textsearch.html

Répondu el 8 de Septembre, 2009 par David Gardner (1499 Points )

7voto

jjnguy avatar
jjnguy Points 62123

Plus destiné à *nix qu'à Windows, mais octopussy prend en charge Windows, et semble viser le même type d'objectif que Splunk.

Répondu el 8 de Septembre, 2009 par jjnguy (62123 Points )

6voto

Ian Murphy avatar
Ian Murphy Points 1329

Je suis en train d'essayer un certain nombre de solutions de surveillance, mais je veux surtout surveiller Windows. La plupart des systèmes sont axés sur la surveillance SNMP, qui permet d'obtenir une quantité remarquable d'informations sans agent.

Voici quelques-uns des systèmes que j'ai essayés jusqu'à présent :

Nagios - Source ouverte. Un casse-tête à configurer mais très apprécié et semble très flexible. Il semble être essentiellement un enregistreur de compteur et ne permet pas l'exécution de script à distance et ne peut donc pas être utilisé pour détecter les problèmes de configuration, comme MS system center ou Kaseya. Agentless mais est essentiellement inutile sans l'outil NSclient installé sur chaque client.

Cacti - Outil graphique assez simple basé sur l'extraction de statistiques snmp. Sans agent.

OpsView - Basé sur Nagios mais plus facile à configurer et doté d'une meilleure interface.

HypericHQ - Facile à mettre en place et à utiliser sous Windows. La version de base est gratuite et fait beaucoup. Il existe une version commerciale HypericHQ entreprise. L'agent doit être installé sur chaque client.

Zabbix - Un autre outil de surveillance intéressant. Il est plus facile à utiliser que nagios. Il possède un agent que vous pouvez installer sur Windows et les machines clientes. Je ne l'ai que peu exploré jusqu'à présent.

Zenoss - Open source. J'ai été très impressionné par le professionnalisme de Zenoss. Il s'agit d'un moniteur basé sur le protocole SNMP et il dispose de nombreuses extensions permettant de surveiller les prolifants HP, les services Windows, ms sql server et mysql. Les extensions fonctionnent toutes via SNMP et rien ne doit être installé sur les machines clientes. Je n'ai pas encore tout exploré et il semble y avoir beaucoup de fonctionnalités que je n'ai pas encore exploitées. Il est basé sur Zope, donc à moins que vous ne soyez au courant des installations de Zope, je vous recommande de télécharger la VM préparée à l'avance - elle fonctionne comme un rêve dès sa sortie de la boîte.

Sur le plan commercial, vous pourriez vous intéresser à quelques outils :

Kaseya - coûte environ 6 000 euros par an pour 250 nœuds, si je me souviens bien, mais c'est un outil superbe et une communauté d'utilisateurs très active. Il est destiné au marché msp et permet de surveiller les systèmes de plusieurs entreprises. Il peut être utilisé en interne sans problème.

GFI Hounddog - plus simple que Kaseya mais très bon marché pour le moment. Cela vaut vraiment le coup de jeter un coup d'œil.

Il existe un certain nombre de solutions vendues en tant que systèmes MSP mais qui sont essentiellement des moniteurs + administration à distance combinés.

Ian

Répondu el 30 de Septembre, 2009 par Ian Murphy (1329 Points )

6voto

Dave Wongillies avatar
Dave Wongillies Points 462

Pour un syslogging centralisé avec de nombreuses fonctionnalités, je ne peux m'empêcher de recommander rsyslog assez. Il s'agit d'un serveur syslog open source qui peut remplacer sans problème le syslogd que vous connaissez et aimez. C'est maintenant le démon syslog de choix pour Ubuntu et je pense que Red Hat et Fedora pourraient également suivre cette voie. J'ai trouvé qu'il est beaucoup plus facile à mettre en place et à faire ce que vous voulez que syslog-ng.

Actuellement, dans notre magasin, nous avons deux serveurs rsyslog centraux (un dans chaque site) qui reçoivent les journaux de centaines de serveurs. J'ai des alertes automatiques par e-mail dès que quelque chose dans syslog déclenche une alerte ou plus (avec quelques ajustements bien sûr, certaines applications sont un peu alarmistes). Je pourrais probablement faire plus de choses intelligentes, par exemple l'envoyer à nagios ou autre, mais cela suffit à nos besoins pour le moment.

Le tout est stocké dans une base de données mysql (Oracle ou postgresql sont également pris en charge, si c'est ce que vous préférez).

Il y a aussi un front-end web et un Agent Windows pour envoyer les journaux Eventlog au serveur rsyslog également. L'interface web n'est évidemment pas aussi élégante que celle de Splunk, mais elle fait le travail pour 0 $.

Répondu el 27 de Mai, 2010 par Dave Wongillies (462 Points )

2voto

bigmattyh avatar
bigmattyh Points 9167

Je suis d'accord que Splunk est génial. Pour les petits environnements à dominante Linux, cependant, vous pouvez envisager quelque chose comme épylographe .

Nous l'avons utilisé à l'un des endroits où je travaillais, et il était parfait pour ce que nous voulions.

Je ne suis pas sûr qu'il gère bien les messages syslog de Windows qui sont envoyés à un collecteur syslog de Linux, mais cela peut valoir la peine d'essayer.

Répondu el 8 de Septembre, 2009 par bigmattyh (9167 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X