Wir verwenden es für mehr als 7 GB Daten pro Tag, aber wir bezahlen dafür. Viel. Ich denke, wir bekommen ein bisschen akademischen Nachlass, aber meistens haben wir es geschafft, das Geld zu rechtfertigen, weil es die Prüfer zufriedenstellte, jemanden / etwas in unseren Protokollen zu haben.
Wir verwenden auch Nagios. Wir haben Nagios mit einigen gespeicherten Suchen konfiguriert, die Skripte aufrufen, die entweder Nagios-Warnungen generieren oder RT- Tickets erstellen . So wird beispielsweise bei Fehlern bei der Anmeldung über X in einem 5-minütigen Zeitfenster (auf allen Servern) eine Warnung generiert. So etwas kann Nagios eigentlich nicht alleine machen.
Früher verwendeten wir SEC , um diese Art von Warnungen zu generieren, aber es funktionierte nicht so gut und es musste immer noch ab und zu versucht werden, grep für eine 20-GB-Datei zu verwenden.
Ich bin mir nicht sicher, ob wir keine Nagios-Warnungen mehr generieren lassen. Wir haben die meisten, wenn nicht alle davon auf die Generierung von RT-Tickets umgestellt. Das Nagios-Alert-Modell eignet sich nicht für Dinge, die auf einer Protokollanalyse basieren. Es eignet sich besser für Dinge mit einem Zustand, der gut oder schlecht sein kann, und nicht für ein diskretes Ereignis, das möglicherweise untersucht werden muss.
BEARBEITEN:
Ja, es macht uns das Leben wirklich viel leichter. Es ist wesentlich besser als zu versuchen, durch Protokolle zu blättern. Wir haben Windows-, Linux- und Solaris-Boxen, die Protokolle senden.
Findet es auf magische Weise genau das, was Sie wollen, wie es einige Videos implizieren? Nein, es gibt einige Einschränkungen, und Sie müssen möglicherweise einige Konfigurationsschritte ausführen, damit bestimmte Protokolltypen ordnungsgemäß verarbeitet werden können. Bei übermäßig "interessanten" Suchvorgängen müssen Sie möglicherweise die Dokumente durchlesen und einige Minuten warten, bis der Splunk-Server funktioniert. Aber im Ernst, es rockt. Nach allem, was ich gesehen habe, gibt es in seiner Liga wirklich nichts anderes.
Ich habe sowohl mit Splunk als auch mit Nagios gearbeitet und sie dienen zwei unterschiedlichen Unterschieden.
Splunk vereinfacht und vereinfacht das Durchsuchen von Protokollen. Gespeicherte Suchen nach häufigen Problemen können bei der Identifizierung von Problemen von unschätzbarem Wert sein. Ich habe 2 Splunk-Server an verschiedenen Standorten. Beide verwenden die kostenlose Version, da der Preis außerhalb des zulässigen Bereichs lag und der täglich indizierte Betrag nicht ausreicht, um weitere zu erwerben.
Nagios hingegen ist eine großartige aktive Überwachungsplattform. Ich habe eine Nagios-Plattform mit 5 Servern, die mehrere geografische Standorte überwacht. Es unterscheidet sich stark von Splunk, das Protokolldateien überwacht. Nagios kann Service Check-Plugins erstellen, um praktisch alles aktiv zu überwachen und Sie über Probleme zu informieren, damit Sie sie beheben können.
Ich finde, die beiden zusammen ergeben ein viel besseres Bild und helfen bei der Aufrechterhaltung eines Netzwerks. Vor allem, wenn es sich um ein Team handelt und nicht um eine individuelle Anstrengung. Alle Beteiligten können das gleiche Bild sehen.
quelle
Es ist nur bis zu 500 MB / Tag der Protokollverarbeitung kostenlos. Ich habe es getestet und selbst wenn Sie unter 500 MB / Tag bleiben, habe ich festgestellt, dass viele der "fortgeschritteneren" Funktionen eine echte Lizenz erfordern. Außerdem sind viele Hardwareressourcen erforderlich, um ordnungsgemäß zu funktionieren.
Ich kenne ein Unternehmen, das es in großem Umfang einsetzt, aber es hat auch sehr viel Geld gekostet (die Low-End-Lizenzen kosten viele tausend Dollar).
Es macht auch andere Dinge als Nagios. Splunk scheint besser zu sein, um Trends zu verfolgen oder nach Besonderheiten in Langzeitdaten zu suchen, und Nagios ist besser, um in der Lage zu sein, sofort zu reagieren.
quelle
Die Enterprise Edition ist sehr, sehr kostspielig. Dies ist die Version, die Sie in einer großen Umgebung verwenden würden. Dies ist der Grund, warum wir es nicht benutzt haben.
quelle
Splunk parst eigentlich keine Protokolldaten, was es schwierig oder unmöglich macht, Berichte zu erstellen, die sich über Systeme mit unterschiedlichen Protokollformaten erstrecken. Es macht es auch unmöglich, eine tatsächliche Korrelation durchzuführen, da es keine konsistente Taxonomie gibt, mit der korreliert werden kann.
quelle
Ich habe Splunk getestet und fand es sehr nützlich für ADHOC-Suchen. Ich verwende LogLogic jedoch seit mehreren Jahren als MSSP, da es sich um eine Appliance-Lösung handelt, die für bis zu 75.000 MPS optimiert ist, eine verteilte Architektur unterstützt, integrierte MD5-Prüfsummen-Dateiintegrität (für forensische Zwecke) bietet und über zahlreiche Funktionen verfügt Indexberichte, reguläre Ausdrücke und Boolesche Suchfilter sind für die meisten Protokollquellen vorkonfiguriert.
quelle