75 votes

Richard Morgan avatar

Alternatives à Splunk ?

Demandé el 5 de Septembre, 2009
Quand la question a-t-elle été
61248 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis assez impressionné par Splunk en particulier la version 4. De jolis graphiques, des alertes (uniquement pour les entreprises) et des recherches rapides et précises. C'est un excellent produit.

Cependant, le coût est beaucoup trop élevé pour envisager une utilisation en production complète pour notre entreprise. Tout ce dont nous avons vraiment besoin, c'est de pouvoir indexer différents journaux dans un endroit central et d'effectuer des recherches raisonnables. Avoir des alertes basées sur une recherche sauvegardée est également très agréable. Nous n'allons pas vraiment au-delà de cela.

En fait, nous l'avons surtout utilisé pour déployer de nouvelles applications. Tout est enregistré via log4net, soit dans le journal des événements sous Windows, soit dans un fichier texte sous Linux. Splunk permet d'effectuer rapidement des recherches dans ces fichiers pour s'assurer que toutes les parties de l'application fonctionnent correctement - cela nous a fait gagner beaucoup de temps par rapport à la recherche de sources de journalisation individuelles.

Quelles alternatives existent sur ce marché ? J'ai l'impression que les prix de Splunk sont si élevés parce qu'ils ont le meilleur produit, de loin, et qu'ils le savent. Nous voulons que le serveur fonctionne sous Windows.

Je serais ouvert à un modèle divisé, utilisant un produit pour les journaux généraux (collectés via syslog/Snare), et un produit dédié pour nos applications personnalisées (telles que Tableau de bord Log4Net ).

L'utilisation d'un simple serveur syslog tel que Kiwi, envoyé au serveur SQL (peut-être avec le texte intégral activé) fonctionnerait-elle ?

J'espère que le coût sera bien inférieur à 5 chiffres, USD. (Et oui, je sais, nous sommes bon marché. Nous sommes une startup avec peu d'argent, et BizSpark s'occupe de toutes nos licences MS).

Edit : Je devrais ajouter que nous avons environ 10 serveurs physiques, 20 VMs, et quelques pare-feu et commutateurs. 90% sont sous Windows.

Demandé el 5 de Septembre, 2009 par Richard Morgan

Réponses

Trop de publicités?

0voto

Florin Andrei avatar
Florin Andrei Points 1098

J'ai fait le truc du backend SQL dans un travail précédent (c'était MySQL d'ailleurs), complet avec scripts, interface Drupal avec scripts PHP personnalisés, les travaux.

Honnêtement, cela a pris beaucoup trop d'heures de travail et ce n'était toujours pas Splunk.

Actuellement, je teste Splunk à la place. Oui, ce n'est pas gratuit, mais si l'on regarde la situation dans son ensemble, cela pourrait être moins cher.

Répondu el 5 de Novembre, 2009 par Florin Andrei (1098 Points )

0voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Avez-vous essayé php-syslog-ng ? http://code.google.com/p/php-syslog-ng/

Répondu el 9 de Mars, 2010 par Utilisateur non enregistré (0 Points )

0voto

Brian Mitchell avatar
Brian Mitchell Points 1881

J'ai posté le fil de discussion sur les doublons : Splunk est fantastiquement cher : Quelles sont les alternatives ?

xpolog et toutes les solutions commerciales sérieuses coûtent GROS (même si c'est moins que splunk, la plupart coûtent facilement 5 chiffres !)

Donc, ce que nous avons finalement fait (parce que splunk était trop cher) :

1) Nous voulions un simple pipeline syslog vers sql db.

2) Nous avons essayé le kiwi syslog. Cela a bien fonctionné pendant une semaine, puis a cessé de fonctionner, et le support kiwi n'a pas pu le réparer. Nous avons donc abandonné kiwi

3) Nous avons essayé winsyslog. Une vieille application, nous n'avions pas envie de l'apprendre.

4) Nous avons utilisé cette application .net gratuite : http://www.aonaware.com/syslog.htm

Voilà. Nous avons des messages syslog dans notre base de données.

Nous sommes très heureux. 0 $ dépensés, quelques heures, mais pas trop.

Répondu el 6 de Avril, 2011 par Brian Mitchell (1881 Points )

0voto

Matthew avatar
Matthew Points 2638

Nous utilisons Splunk ici, et je suis un peu choqué par le prix qu'ils vous ont indiqué. La ventilation de base que l'on nous a donnée tournait autour de 1 000 $ US par 1 Go de données. C'est coûteux, mais super puissant et très rapide à développer. En fonction de vos sources de données et de ce que vous voulez en faire, quelques scripts Python et perl pourraient vous donner beaucoup de données similaires. La grande différence sera le temps, et apprendre à vraiment manier le langage pour le traitement de texte. Vous ne serez pas non plus en mesure d'obtenir des informations IP en temps réel (des choses comme syslog), bien que vous puissiez résoudre ce problème en obtenant un syslogger et en sortant les informations dans un fichier texte. Désolé, je ne peux pas vous orienter vers une solution spécifique ; ce pour quoi nous ne pouvons pas utiliser splunk, nous utilisons Python, perl et bash scripts.

Répondu el 24 de Mai, 2011 par Matthew (2638 Points )

0voto

Vlad Gudim avatar
Vlad Gudim Points 10161

ELSA - Recherche et archivage des journaux d'entreprise

Caractéristiques principales :

  • Recherche en texte intégral sur n'importe quel mot d'un message ou d'un champ analysé.
  • Regroupez par n'importe quel champ et produisez des rapports basés sur les résultats.
  • Recherche d'horaires.
  • Alerte sur les résultats de recherche sur les nouveaux journaux.
  • Sauvegarder les recherches, envoyer par courriel les résultats des recherches sauvegardées.
  • Créer des tickets d'incident basés sur les résultats de la recherche (avec plugin).
  • Système de plugin complet pour les résultats.
  • Exportez les résultats sous forme de permalien ou en Excel, PDF, CSV et HTML.
  • Intégration complète de LDAP pour les permissions.
  • Statistiques des requêtes par utilisateur et taille et nombre de journaux.
  • Architecture entièrement distribuée, pouvant gérer n nœuds avec toutes les requêtes exécutées en parallèle.
  • Archives comprimées avec un rapport supérieur à 10:1.

Détails des performances :

Pour spécifier un système, par ordre d'importance : taille du disque, RAM, vitesse du disque, nombre de CPU. Le facteur de performance primordial est l'indexeur et le démon de recherche de Sphinx, donc référez-vous à sphinxsearch.com pour la documentation. Mes statistiques sont tirées de grands systèmes (16 CPU, 144 GB RAM, 12 TB HD), mais vous obtiendrez les mêmes performances sur un système avec 4 CPU, 8 GB RAM, et n'importe quelle taille de HD car les choses évoluent linéairement. Le système a d'abord fonctionné sur des lames IBM avec 4 Go de RAM et des disques SAN lents, et les performances étaient à peu près les mêmes, mais 4 Go, c'est un peu juste.

Détails des performances et liste des principales caractéristiques, plus une description de l'architecture : http://ossectools.blogspot.com/2011/03/fighting-apt-with-open-source-software.html

Code : https://code.google.com/p/enterprise-log-search-and-archive/

VM : http://ossectools.blogspot.com/2011/07/elsa-vmware-appliance-available.html

Détails concernant le projet : http://ossectools.blogspot.com/2011/03/comprehensive-log-collection.html

Répondu el 26 de Juillet, 2011 par Vlad Gudim (10161 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X