Je suis assez impressionné par Splunk en particulier la version 4. De jolis graphiques, des alertes (uniquement pour les entreprises) et des recherches rapides et précises. C'est un excellent produit.
Cependant, le coût est beaucoup trop élevé pour envisager une utilisation en production complète pour notre entreprise. Tout ce dont nous avons vraiment besoin, c'est de pouvoir indexer différents journaux dans un endroit central et d'effectuer des recherches raisonnables. Avoir des alertes basées sur une recherche sauvegardée est également très agréable. Nous n'allons pas vraiment au-delà de cela.
En fait, nous l'avons surtout utilisé pour déployer de nouvelles applications. Tout est enregistré via log4net, soit dans le journal des événements sous Windows, soit dans un fichier texte sous Linux. Splunk permet d'effectuer rapidement des recherches dans ces fichiers pour s'assurer que toutes les parties de l'application fonctionnent correctement - cela nous a fait gagner beaucoup de temps par rapport à la recherche de sources de journalisation individuelles.
Quelles alternatives existent sur ce marché ? J'ai l'impression que les prix de Splunk sont si élevés parce qu'ils ont le meilleur produit, de loin, et qu'ils le savent. Nous voulons que le serveur fonctionne sous Windows.
Je serais ouvert à un modèle divisé, utilisant un produit pour les journaux généraux (collectés via syslog/Snare), et un produit dédié pour nos applications personnalisées (telles que Tableau de bord Log4Net ).
L'utilisation d'un simple serveur syslog tel que Kiwi, envoyé au serveur SQL (peut-être avec le texte intégral activé) fonctionnerait-elle ?
J'espère que le coût sera bien inférieur à 5 chiffres, USD. (Et oui, je sais, nous sommes bon marché. Nous sommes une startup avec peu d'argent, et BizSpark s'occupe de toutes nos licences MS).
Edit : Je devrais ajouter que nous avons environ 10 serveurs physiques, 20 VMs, et quelques pare-feu et commutateurs. 90% sont sous Windows.
