Pikiran tentang Splunk Gratis

Saya sedang mempertimbangkan untuk mengimplementasikan Splunk di perusahaan saya tetapi saya ragu tentang investasi keuangan. Saya perhatikan ada versi gratis Splunk yang tampaknya cukup bagus.

Adakah yang bisa memberi tahu saya jika Anda menggunakan versi gratis di perusahaan Anda? Apakah Anda menemukan versi gratisnya memadai, atau hanya batu loncatan untuk pembelian akhirnya?

Kami menggunakan Splunk gratis bersama dengan OSSEC pada beberapa pelanggan dan ini dapat digunakan dengan sempurna. Tentu saja, ia memiliki beberapa keterbatasan dibandingkan dengan versi yang tidak bebas:

• Batas 500MB per hari (dengan dua atau tiga puncak diizinkan per bulan): Jika Anda tidak menghasilkan data sebanyak itu, ini tidak akan memengaruhi Anda
• Otentikasi: Splunk gratis tidak memilikinya. Kami menggunakan apache dan http_auth untuk mengatasi batasan ini. Ini bukan solusi yang sempurna tetapi cukup baik. Jika Anda akan menjadi satu-satunya pengguna, Anda dapat menjalankannya di localhost.
• Pengguna berbeda: Splunk gratis hanya memiliki satu pengguna. Jadi, Anda tidak mendapatkan dasbor dan penyesuaian yang dipersonalisasi. Sekali lagi, jika Anda semua mencari yang sama dan tidak peduli tentang berbagi atau Anda adalah satu-satunya, seharusnya tidak ada masalah.

Secara keseluruhan, Splunk gratis (terutama versi 4) adalah produk per se dan dapat digunakan dalam produksi tanpa khawatir, kecuali jika Anda memerlukan fitur tambahan dari versi tidak bebas.

Secara keseluruhan, Splunk gratis (terutama versi 4) adalah produk per se dan dapat digunakan dalam produksi tanpa khawatir, kecuali jika Anda memerlukan fitur tambahan dari versi tidak bebas.

Jika Anda memiliki sedikit data untuk diindeks, hal di atas benar.

Apa yang kami temukan adalah bahwa jika data Anda berada dalam kisaran batas, Anda berada dalam MASALAH.

Kami pikir: Heck, 500mb / hari, itu banyak. Jika kami melebihi itu, bukan masalah besar, kami hanya akan dapat mencari 500 mb itu.

Salah!

Menurut situs jawaban splunk , jika Anda mencapai batasnya, fitur Pencarian Splunk dinonaktifkan ... untuk DAYS sekaligus.

Ini secara efektif MEMBUNUH sistem splunk Anda (jika Anda tidak dapat mencari, seluruh sistem sama berguna dengan sekarung pasir).

"Jika Anda melebihi volume harian berlisensi pada satu hari kalender apa pun, Anda akan mendapatkan peringatan pelanggaran. Pesan itu bertahan selama 14 hari. Jika Anda memiliki 5 pelanggaran atau lebih pada lisensi Perusahaan atau 3 pelanggaran pada lisensi Gratis dalam suatu penggulingan 30 -hari periode, pencarian akan dinonaktifkan. Kemampuan pencarian kembali ketika Anda memiliki kurang dari 5 (Enterprise) atau 3 (Gratis) pelanggaran dalam 30 hari sebelumnya atau ketika Anda menerapkan lisensi baru dengan batas volume yang lebih besar.

Catatan: Selama periode pelanggaran lisensi, Splunk tidak berhenti mengindeks data Anda. Splunk hanya memblokir akses saat Anda melebihi lisensi Anda.

Jadi, bahkan jika Anda memiliki lisensi berbayar, jika Anda mencapai batas Anda dapat secara efektif menonaktifkan sistem.

Anda bahkan tidak dapat mengubah kata sandi admin default dengan lisensi gratis. Ini berarti siapa pun di jaringan dapat mengirim data ke pengindeks / penerusan dengan admin default: kredensial changeme.

Berpikir tentang itu.

Kami adalah tim yang terdiri dari 12 orang di sebuah perusahaan media besar di London. Kami memiliki lisensi perusahaan lebih dari 100GB untuk perusahaan secara keseluruhan tetapi tim kami masih menjalankan server terpisah dengan versi gratis. Ini memungkinkan kami lebih banyak kebebasan untuk bermain dengan konfigurasi dan mengindeks kumpulan data 'satu kali' yang jika tidak akan memakan waktu lebih lama pada sistem produksi kami karena hak akses dan kontrol perubahan.

Ini semacam lingkungan uji coba / untuk splunk tetapi kami juga memiliki banyak pencarian dan dasbor yang kami gunakan sepanjang waktu sehingga kami tidak memiliki keinginan untuk beralih ke produksi. Jadi ya, versi gratisnya bermanfaat.