Мысли о бесплатном Splunk

13

Я планирую внедрить Splunk в моей компании, но опасаюсь финансовых вложений. Я заметил, что есть бесплатная версия Splunk, которая кажется достаточно хорошей.

Может кто-нибудь сказать мне, если вы используете бесплатную версию в вашей компании? Считаете ли вы бесплатную версию адекватной или просто трамплин для возможной покупки?

dan_vitch
источник

Ответы:

15

Мы используем бесплатный Splunk вместе с OSSEC для нескольких клиентов, и он идеально подходит для использования. Конечно, он имеет некоторые ограничения по сравнению с несвободной версией:

  • Лимит 500 МБ в день (с двумя или тремя пиками, разрешенными в месяц): если вы не генерируете столько данных, это не повлияет на вас
  • Аутентификация: у бесплатного Splunk его нет. Мы используем apache и http_auth, чтобы преодолеть это ограничение. Это не идеальное решение, но достаточно хорошее. Если вы будете единственным пользователем, вы можете запустить его на локальном хосте.
  • Разные пользователи: бесплатный Splunk имеет только одного пользователя. Таким образом, вы не получите персонализированные панели мониторинга и настройки. Опять же, если вы все ищете то же самое и не заботитесь о том, чтобы делиться или вы единственный, проблем не должно быть.

В целом, бесплатный Splunk (особенно версия 4) является продуктом как таковым и может без проблем использоваться в производстве, если только вам не понадобятся дополнительные функции несвободной версии.

chmeee
источник
1
Free Spunk также не позволяет выполнять запланированные поиски, что, по моему опыту, очень сильно затрудняет использование продукта.
thepocketwade
1
Между прочим, это 5 «нарушений лицензии» в месяц, когда 6-е происходит, оно все еще продолжает принимать и индексировать события, но вы не можете искать по этим событиям, пока не увеличите свою лицензию.
Chopper3
4

В целом, бесплатный Splunk (особенно версия 4) является продуктом как таковым и может без проблем использоваться в производстве, если вам не понадобятся дополнительные функции несвободной версии.

Если у вас есть небольшое количество данных для индексации, вышеприведенное верно.

Мы выяснили, что если ваши данные находятся в пределах предела, вы находитесь в ПРОБЛЕМЕ.

Мы поняли: Черт, 500 МБ / день, это много. Если мы превысим его, ничего страшного, мы сможем найти только 500 МБ.

Неправильно!

Согласно ответам сайта , если вы достигнете пределов, функция поиска Splunk будет отключена ... для ДНЕЙ одновременно.

Это эффективно УБИВАЕТ вашу разбойную систему (если вы не можете искать, вся система примерно так же полезна, как мешок с песком).

«Если вы превысите свой лицензированный дневной объем в любой календарный день, вы получите предупреждение о нарушении. Сообщение сохраняется в течение 14 дней. Если у вас есть 5 или более нарушений по лицензии Enterprise или 3 нарушения по бесплатной лицензии в течение 30 По истечении одного дня поиск будет отключен. Возможности поиска возвращаются, если в течение предыдущих 30 дней у вас было менее 5 (Enterprise) или 3 (Free) нарушений или когда вы применяете новую лицензию с большим лимитом объема.

Примечание. В период нарушения лицензии Splunk не прекращает индексировать ваши данные. Splunk блокирует доступ только тогда, когда вы превышаете вашу лицензию.

Таким образом, даже если у вас есть платная лицензия, если вы достигнете пределов, вы можете эффективно отключить систему.

Jonesome Восстановить Монику
источник
2

Вы даже не можете изменить пароль администратора по умолчанию с помощью бесплатной лицензии. Это означает, что любой пользователь в сети может отправлять данные в индексатор / сервер пересылки с учетными данными admin: changeme по умолчанию.

Подумай об этом.

mr.zog
источник
2

Мы команда из 12 человек в крупной медиа-компании в Лондоне. У нас есть корпоративная лицензия, превышающая 100 ГБ для компании в целом, но наша команда по-прежнему использует отдельный сервер с бесплатной версией. Это дает нам больше свободы для работы с конфигурациями и индексирования «одноразовых» пакетов данных, которые в противном случае потребовали бы больше времени в нашей производственной системе из-за прав доступа и контроля изменений.

Это своего рода среда разработки / тестирования для Splunk, но у нас также есть много поисков и информационных панелей, которые мы используем постоянно, и у нас нет желания переходить на работу. Так что да, бесплатная версия полезна.

Ник Фокс
источник