Splunk的替代品？

Splunk尤其是版本4 给我留下了深刻的印象，漂亮的图表，警报（仅限企业版）以及快速，准确的搜索功能。这是一个很棒的产品。

但是，成本太高了，无法考虑完全使用我们公司的产品。我们真正需要的只是能够在中心位置索引不同的日志，并对此进行合理的搜索。具有基于保存的搜索的警报也非常好。我们并没有真正超越。

实际上，我们最大的用途是部署新应用程序。一切都通过log4net记录到Windows上的事件日志或Linux上的文本文件中。Splunk使快速搜索所有内容以确保应用程序的所有部分运行正常非常容易-与查找单个日志记录源相比，这节省了我们很多时间。

这个市场上有哪些替代品？我有一种下沉的感觉，Splunk的价格太高了，因为他们到目前为止拥有最好的产品，而且他们知道。我们希望服务器在Windows上运行。

我会接受拆分模型，使用一种产品来记录一般日志（通过syslog / Snare收集），并使用专用产品来处理我们的自定义应用程序（例如Log4Net Dashboard）。

使用发送到SQL Server（也许启用了全文本）的简单系统日志服务器（例如Kiwi）可以工作吗？

我希望成本应该在5美元以下。（是的，我知道，我们很便宜。我们是一家几乎没有钱的创业公司，BizSpark负责我们所有的MS许可。）

编辑：我应该补充一点，我们大约有10台物理服务器，20台虚拟机以及几个防火墙和交换机。Windows是90％。

注意：这全部是关于Linux和自由软件的，因为这是我最常使用的，但是您可以在Windows上使用syslog客户端将日志发送到Linux syslog服务器，这应该没问题。

登录到SQL服务器： 仅使用约30台计算机，几乎所有集中式syslog-like和SQL后端都应该可以。我在Linux上使用syslog-ng和MySQL。

漂亮的图形前端是主要问题-似乎有很多黑客入侵的前端可以从日志中获取项目，并显示有多少点击，警报等，但我还没有发现任何集成且干净的东西。诚然，这是您正在寻找的主要内容...（如果我发现有什么好处，那么我将更新此部分！）

警报：我在Linux服务器上使用SEC来查找日志中发生的不良情况，并通过各种方法向我发出警报。它非常灵活，不像Splunk那样可点击。这里有一个不错的教程，它指导了许多可能的功能。

我还将Nagios用于各种统计数据的图表以及一些我无法从日志中获取的警报（例如，服务中断时等）。可以轻松自定义添加任何您喜欢的图形。我通过让代理使用check_logfiles插件来计数日志中的命中次数（添加了它在每个检查周期内所占的位置），来添加了一些项目图，例如对http服务器的命中数。

总体而言，这取决于您花费多少时间进行设置，因为可以使用许多选项，但是它们不如Splunk集成，因此可能需要更多的精力才能完成您想要的事情。Nagios图很容易设置，但是在添加图之前不提供历史数据，而使用Splunk（以及可能的其他前端），您可以回顾过去的日志并仅用图形表示事物想到从他们那里看。

还请注意，SQL数据库格式和索引编制将对查询速度产生巨大影响，因此，全文索引的构想将极大地提高搜索速度。我不确定MySQL还是PostgreSQL是否会做类似的事情。

编辑：MySQL将进行全文索引，但仅在 MySQL 5.6之前的MyISAM表上进行。 在5.6中添加了对InnoDB的支持。

编辑：Postgresql当然可以进行全文搜索：http : //www.postgresql.org/docs/9.0/static/textsearch.html

* nix比Windows更面向* nix，但是章鱼确实支持Windows，并且似乎与splunk一样。

我正在尝试多种监视解决方案-但我想主要监视窗口。大多数系统都适用于SNMP监控，无需代理即可设法提取大量信息。

这些是我到目前为止尝试过的一些系统：

Nagios-开源。可以配置但评级很高的猪，看起来非常灵活。它似乎本质上是一个计数器记录器，不允许远程脚本执行，因此不能用来解决配置问题，例如MS系统中心或Kaseya。没有代理，但是如果没有在每个客户端上安装NSclient工具，则基本上没有用。

Cacti-基于提取snmp统计信息的漂亮直观的绘图工具。无代理。

OpsView-基于Nagios，但易于配置且具有更好的前端。

HypericHQ-易于在Windows下启动和运行。基本版本是免费的，功能很多。有一家商业HypericHQ企业。必须在每个客户端上安装代理。

Zabbix-另一个不错的监视工具。它比nagios更易于使用。有可以在Windows和客户端计算机上安装的代理。到目前为止，我仅探讨了这一点。

Zenoss-开源。Zenoss的专业水平给我留下了深刻的印象。它是一个基于SNMP的监视器，并具有大量扩展，以允许监视HP proliants，Windows服务，ms sql服务器，mysql。所有扩展都通过SNMP起作用，因此无需在客户端计算机上安装任何扩展程序。我尚未探索所有内容，并且似乎还有很多功能需要利用。它基于Zope，因此除非您快速了解Zope的安装，否则我建议您下载预先准备的VM-它像开箱即用的梦一样工作。

在商业方面，您可以看一下一些工具：

Kaseya-如果我没记错的话，每年250个节点的费用约为6,000美元，但它是一种出色的工具，并且拥有非常活跃的用户社区。它针对MSP市场，并允许监视多个公司的系统。它可以在内部使用而不会出现问题。

GFI Hounddog-比Kaseya简单，但目前非常便宜。绝对值得一看。

有许多解决方案作为MSP系统出售，但实际上是监视器+远程管理员的组合。

伊恩

对于具有许多强大功能的集中式syslog记录，我不禁推荐rsyslog。它是一个开放源代码syslog服务器，可以愉快地作为您所熟悉和喜爱的常规syslogd的替代产品。现在，它已成为Ubuntu的首选syslog守护程序，我认为Red Hat＆Fedora也可能会沿着这条道路走。我发现它很容易启动和运行，并且可以执行syslog-ng所需的操作。

当前，在我们的商店中，我们有两个中央rsyslog服务器（每个站点一个），该服务器接收数百个服务器的日志。每当syslog中的某些事件触发警报或更高级别时，我都会收到自动电子邮件警报（当然，通过一些调整，某些应用程序有点警报）。我可能还可以做一些更聪明的事情，例如让它将物品发送给nagios或类似的公司，但它足以满足我们目前的需求。

所有这些也都进入了mysql数据库（如果您这样做的话，还支持Oracle或postgresql）。

还有一个Web前端和一个Windows代理，用于将Eventlog日志发送到rsyslog服务器。Web前端显然不像splunk那样精巧，但是它只需$ 0即可完成工作。

看看http://www.codeplex.com/polymon

它的开源，在后端使用SQL Server并具有精美的UI

我同意Splunk很棒。但是，对于小型的，占主导地位的Linux环境，您可能希望查看类似epylog的东西。

我们在我以前工作的地方之一使用过它，对我们想要的东西来说很棒。

不知道它会如何处理发送到Linux syslog收集器的Windows syslog消息，但是可能值得一试。

只需链接到我的答案，否则：

Splunk的价格异常昂贵：有哪些替代方案？

编辑（新项目）：

该LogStash和Graylog2项目看起来很有趣

这里有几个视频：一 两个。

像GFI EventsManager之类的东西可能会花掉大约4000美元。

• 分析事件日志，包括SNMP陷阱，Windows事件日志，W3C日志和Syslog
• 实时警报，包括SNMPv2陷阱警报
• 查看有关当前正在发生的关键安全信息的报告
• 集中式事件记录
• 删除在所有安全事件中占很大比例的“噪声”或琐碎事件
• 实时24 x 7 x 365天的监视和警报
• 通过内置状态监视器以图形方式监视GFI EventsManager和网络的状态
• 支持虚拟环境

如果您正在寻找SysLog替代品，则可能还需要考虑商业syslog / rsyslog替代品，例如LogLogic，http： //loglogic.com 。我们（在我工作的地方）拥有一套功能齐全的设备日志记录，存储和报告功能。从本质上讲，它每秒能够收集100,000s条消息，感到痛苦并对其进行索引的功能，因此可以进行搜索。

您可以尝试从Liquidlabs获得logscape-与splunk非常相似，但也具有一些不同的功能。... http://www.liquidlabs-cloud.com/products/logscape.html

我在上一份工作中做了SQL后端工作（顺便说一句是MySQL），完成了脚本，带有自定义PHP脚本的Drupal接口以及这些工作。

老实说，这花费了太多的工时，但仍然不是Splunk。

目前，我正在测试Splunk。是的，它不是免费的，但纵观全局，它实际上可能会更便宜。

您是否尝试过php-syslog-ng？ http://code.google.com/p/php-syslog-ng/

我张贴了骗人的话题： Splunk的价格非常昂贵：有哪些替代品？

xpolog和所有严肃的商业解决方案都是BIG $（即使少于splunk，大多数也很容易达到5位！）

Sooooo，我们最终做了什么（因为splunk太多了）：

1）我们想要一个简单的syslog到sql db管道

2）我们尝试了kiwi syslog。这个工具运行了一个星期很好，停止工作了，猕猴桃支持无法修复它。所以我们丢了猕猴桃

3）我们尝试了winsyslog。一个应用程序的老狗，我们不想学习它。

4）我们使用了这个免费的.net应用程序：http : //www.aonaware.com/syslog.htm

瞧 我们的数据库中有系统日志消息。

我们很开心。花费$ 0，有几个小时，但又不过分。

我们在这里使用Splunk，他们告诉您的价格令我有些震惊。我们得到的基本故障数据大约为每1GB数据1000美元。它成本高昂，但功能强大，开发起来非常快。根据您的数据源以及您要使用的数据，一些python和perl脚本可能会为您提供许多相似的数据。最大的不同将是时间，而学习真正使用该语言进行文本处理。您也无法获取实时IP信息（类似于syslog），尽管可以通过获取syslogger并将信息输出到文本文件来解决此问题。抱歉，我无法为您提供任何具体的解决方案；我们不能使用splunk的原因是我们使用python，perl和bash脚本。

ELSA-企业日志搜索和存档

主要特点：

• 对消息或已解析字段中的任何单词进行全文搜索。
• 按任何字段分组并根据结果生成报告。
• 安排搜索。
• 在新日志的搜索命中时发出警报。
• 保存搜索，通过电子邮件发送已保存的搜索结果。
• 根据搜索结果创建事件凭单（带有插件）。
• 完整的插件系统以获得结果。
• 将结果导出为永久链接或以Excel，PDF，CSV和HTML格式导出。
• 完全LDAP集成以获得权限。
• 按用户，日志大小和计数查询的统计信息。
• 完全分布式的体系结构，可以处理n个节点，所有查询并行执行。
• 压缩档案的比率优于10：1。

性能细节：

对于系统规格，按重要性顺序排列：磁盘大小，RAM，磁盘速度，CPU数量。首要的性能因素是Sphinx的索引器和搜索守护程序，因此请参考sphinxsearch.com以获取文档。我给出的统计数据来自大型系统（16 CPU，144 GB RAM，12 TB HD），但是随着事物线性扩展，在具有4 CPU，8 GB RAM和任何大小的HD的系统上，您将获得相同的性能。该系统首先在具有4 GB RAM和慢速SAN驱动器的IBM刀片服务器上运行，并以大致相同的速度运行，但是4 GB正在使它接近极限。

性能详细信息和主要功能列表，以及体系结构说明：http : //ossectools.blogspot.com/2011/03/fighting-apt-with-open-source-software.html

代码：https：//code.google.com/p/enterprise-log-search-and-archive/

虚拟机：http : //ossectools.blogspot.com/2011/07/elsa-vmware-appliance-available.html

有关该项目的详细信息：http : //ossectools.blogspot.com/2011/03/comprehensive-log-collection.html

如果您正在寻找Splunk的更便宜的替代品，请尝试LogZilla（http://www.logzilla.pro）。它的伸缩性比Splunk更好，甚至更好（您可以在1-2秒内搜索300m日志），成本很容易达到成本的1/10。他们有一个运行在http://demo.logzilla.pro的演示。