关于免费Splunk的思考

我正在考虑在我的公司中实施Splunk，但对金融投资持怀疑态度。我注意到有一个免费版本的Splunk似乎足够好。

谁能告诉我您是否在公司使用免费版本？您是否认为免费版本足够，还是仅仅是最终购买的跳板？

我们在多个客户上使用了免费的Splunk 和OSSEC，它非常有用。当然，与非免费版本相比，它具有一些局限性：

• 每天500MB的限制（每月允许两个或三个峰值）：如果您生成的数据量不大，这不会影响您
• 身份验证：免费的Splunk没有它。我们使用apache和http_auth来克服此限制。这不是一个完美的解决方案，但足够好。如果您是唯一的用户，则可以在localhost上运行它。
• 不同的用户：免费的Splunk只有一个用户。因此，您不会获得个性化的仪表板和自定义设置。同样，如果您都在寻找相同的东西，而不在乎共享，或者您是唯一的一个，那么应该没有问题。

总体而言，免费的Splunk（尤其是版本4）本身就是一种产品，可以毫无疑问地用于生产中，除非您碰巧需要非免费版本的附加功能。

总体而言，免费的Splunk（尤其是版本4）本身就是一种产品，可以毫无疑问地用于生产中，除非您碰巧需要非免费版本的附加功能。

如果您要索引的数据量很少，则上述情况是正确的。

我们发现，如果您的数据在限制范围内，那么您将陷入困境。

我们算了一笔账：哎呀，500mb /天，很多。如果超过它，没什么大不了的，我们将只能搜索500 mb。

错误！

根据splunk解答网站，如果您达到限制，则Splunk搜索功能将被禁用...连续DAYS天。

这有效地杀死了您的乱码系统（如果您无法搜索，则整个系统就像一袋沙子一样有用）。

“如果在任何一个日历日中超过许可的每日交易量，您将收到违规警告。该消息将持续14天。如果在连续30天中有5次或以上违反企业许可或3次违反免费许可的行为，在过去的30天内违反次数少于5（企业）或3（免费）的情况下，或者当您使用数量更大的新许可证时，将恢复搜索功能。

注意：在许可证违反期间，Splunk不会停止索引您的数据。Splunk仅在您超出许可时才阻止访问。

因此，即使您具有付费许可证，只要您达到限制，就可以有效地禁用系统。

您甚至无法使用免费许可证更改默认的管理员密码。这意味着网络上的任何人都可以使用默认的admin：changeme凭据将数据发送到索引器/转发器。

考虑一下。

我们是伦敦一家大型媒体公司的12人团队。我们整个公司的企业许可证超过100GB，但我们的团队仍在运行带有免费版本的单独服务器。这使我们拥有更大的自由来配置和索引“一次性”数据批次，否则由于访问权限和变更控制，这些数据将在我们的生产系统上花费更长的时间。

这是一种针对splunk的开发/测试环境，但我们也有很多搜索和仪表板，我们一直在使用这些信息，而我们一直不希望转向生产环境。是的，免费版本很有用。