Splunk的替代品?


76

Splunk尤其是版本4 给我留下了深刻的印象,漂亮的图表,警报(仅限企业版)以及快速,准确的搜索功能。这是一个很棒的产品。

但是,成本太高了,无法考虑完全使用我们公司的产品。我们真正需要的只是能够在中心位置索引不同的日志,并对此进行合理的搜索。具有基于保存的搜索的警报也非常好。我们并没有真正超越。

实际上,我们最大的用途是部署新应用程序。一切都通过log4net记录到Windows上的事件日志或Linux上的文本文件中。Splunk使快速搜索所有内容以确保应用程序的所有部分运行正常非常容易-与查找单个日志记录源相比,这节省了我们很多时间。

这个市场上有哪些替代品?我有一种下沉的感觉,Splunk的价格太高了,因为他们到目前为止拥有最好的产品,而且他们知道。我们希望服务器在Windows上运行。

我会接受拆分模型,使用一种产品来记录一般日志(通过syslog / Snare收集),并使用专用产品来处理我们的自定义应用程序(例如Log4Net Dashboard)。

使用发送到SQL Server(也许启用了全文本)的简单系统日志服务器(例如Kiwi)可以工作吗?

我希望成本应该在5美元以下。(是的,我知道,我们很便宜。我们是一家几乎没有钱的创业公司,BizSpark负责我们所有的MS许可。)

编辑:我应该补充一点,我们大约有10台物理服务器,20台虚拟机以及几个防火墙和交换机。Windows是90%。


另请参
见此

BizSpark涵盖什么?System Center系列似乎是正常的Windows监视路线,尤其是Operations Manager……
Oskar Duveborn

什么 Splunk的定价,到底?我没有在他们的网站上看到它?
彼得·蒙斯

9
Splunk定价很危险!要永久索引,每天要索引5gb的数据超过3万美元。(提防任何未在其网站上发布价格的公司!)
samsmith

Answers:


30

注意:这全部是关于Linux和自由软件的,因为这是我最常使用的,但是您可以在Windows上使用syslog客户端将日志发送到Linux syslog服务器,这应该没问题。

登录到SQL服务器: 仅使用约30台计算机,几乎所有集中式syslog-like和SQL后端都应该可以。我在Linux上使用syslog-ng和MySQL。

漂亮的图形前端是主要问题-似乎有很多黑客入侵的前端可以从日志中获取项目,并显示有多少点击,警报等,但我还没有发现任何集成且干净的东西。诚然,这是您正在寻找的主要内容...(如果我发现有什么好处,那么我将更新此部分!)

警报:我在Linux服务器上使用SEC来查找日志中发生的不良情况,并通过各种方法向我发出警报。它非常灵活,不像Splunk那样可点击。这里有一个不错的教程,它指导了许多可能的功能。

我还将Nagios用于各种统计数据的图表以及一些我无法从日志中获取的警报(例如,服务中断时等)。可以轻松自定义添加任何您喜欢的图形。我通过让代理使用check_logfiles插件来计数日志中的命中次数(添加了它在每个检查周期内所占的位置),来添加了一些项目图,例如对http服务器的命中数。

总体而言,这取决于您花费多少时间进行设置,因为可以使用许多选项,但是它们不如Splunk集成,因此可能需要更多的精力才能完成您想要的事情。Nagios图很容易设置,但是在添加图之前不提供历史数据,而使用Splunk(以及可能的其他前端),您可以回顾过去的日志并仅用图形表示事物想到从他们那里看。

还请注意,SQL数据库格式和索引编制将对查询速度产生巨大影响,因此,全文索引的构想将极大地提高搜索速度。我不确定MySQL还是PostgreSQL是否会做类似的事情。

编辑:MySQL将进行全文索引,但仅在 MySQL 5.6之前的MyISAM表上进行。 在5.6中添加了对InnoDB的支持

编辑:Postgresql当然可以进行全文搜索:http : //www.postgresql.org/docs/9.0/static/textsearch.html



6

我正在尝试多种监视解决方案-但我想主要监视窗口。大多数系统都适用于SNMP监控,无需代理即可设法提取大量信息。

这些是我到目前为止尝试过的一些系统:

Nagios-开源。可以配置但评级很高的猪,看起来非常灵活。它似乎本质上是一个计数器记录器,不允许远程脚本执行,因此不能用来解决配置问题,例如MS系统中心或Kaseya。没有代理,但是如果没有在每个客户端上安装NSclient工具,则基本上没有用。

Cacti-基于提取snmp统计信息的漂亮直观的绘图工具。无代理。

OpsView-基于Nagios,但易于配置且具有更好的前端。

HypericHQ-易于在Windows下启动和运行。基本版本是免费的,功能很多。有一家商业HypericHQ企业。必须在每个客户端上安装代理。

Zabbix-另一个不错的监视工具。它比nagios更易于使用。有可以在Windows和客户端计算机上安装的代理。到目前为止,我仅探讨了这一点。

Zenoss-开源。Zenoss的专业水平给我留下了深刻的印象。它是一个基于SNMP的监视器,并具有大量扩展,以允许监视HP proliants,Windows服务,ms sql服务器,mysql。所有扩展都通过SNMP起作用,因此无需在客户端计算机上安装任何扩展程序。我尚未探索所有内容,并且似乎还有很多功能需要利用。它基于Zope,因此除非您快速了解Zope的安装,否则我建议您下载预先准备的VM-它像开箱即用的梦一样工作。

在商业方面,您可以看一下一些工具:

Kaseya-如果我没记错的话,每年250个节点的费用约为6,000美元,但它是一种出色的工具,并且拥有非常活跃的用户社区。它针对MSP市场,并允许监视多个公司的系统。它可以在内部使用而不会出现问题。

GFI Hounddog-比Kaseya简单,但目前非常便宜。绝对值得一看。

有许多解决方案作为MSP系统出售,但实际上是监视器+远程管理员的组合。

伊恩


6

对于具有许多强大功能的集中式syslog记录,我不禁推荐rsyslog。它是一个开放源代码syslog服务器,可以愉快地作为您所熟悉和喜爱的常规syslogd的替代产品。现在,它已成为Ubuntu的首选syslog守护程序,我认为Red Hat&Fedora也可能会沿着这条道路走。我发现它很容易启动和运行,并且可以执行syslog-ng所需的操作。

当前,在我们的商店中,我们有两个中央rsyslog服务器(每个站点一个),该服务器接收数百个服务器的日志。每当syslog中的某些事件触发警报或更高级别时,我都会收到自动电子邮件警报(当然,通过一些调整,某些应用程序有点警报)。我可能还可以做一些更聪明的事情,例如让它将物品发送给nagios或类似的公司,但它足以满足我们目前的需求。

所有这些也都进入了mysql数据库(如果您这样做的话,还支持Oracle或postgresql)。

还有一个Web前端和一个Windows代理,用于将Eventlog日志发送到rsyslog服务器。Web前端显然不像splunk那样精巧,但是它只需$ 0即可完成工作。



2

我同意Splunk很棒。但是,对于小型的,占主导地位的Linux环境,您可能希望查看类似epylog的东西。

我们在我以前工作的地方之一使用过它,对我们想要的东西来说很棒。

不知道它会如何处理发送到Linux syslog收集器的Windows syslog消息,但是可能值得一试。



1

GFI EventsManager之类的东西可能会花掉大约4000美元。

  • 分析事件日志,包括SNMP陷阱,Windows事件日志,W3C日志和Syslog
  • 实时警报,包括SNMPv2陷阱警报
  • 查看有关当前正在发生的关键安全信息的报告
  • 集中式事件记录
  • 删除在所有安全事件中占很大比例的“噪声”或琐碎事件
  • 实时24 x 7 x 365天的监视和警报
  • 通过内置状态监视器以图形方式监视GFI EventsManager和网络的状态
  • 支持虚拟环境

1

如果您正在寻找SysLog替代品,则可能还需要考虑商业syslog / rsyslog替代品,例如LogLogic,http: //loglogic.com 。我们(在我工作的地方)拥有一套功能齐全的设备日志记录,存储和报告功能。从本质上讲,它每秒能够收集100,000s条消息,感到痛苦并对其进行索引的功能,因此可以进行搜索。


我最近看了一个LogLogic演示。非常令人印象深刻的东西。
汤姆·奥康纳

您应该要求提供LogLogic 5演示,甚至更好。
BillRoth


0

我在上一份工作中做了SQL后端工作(顺便说一句是MySQL),完成了脚本,带有自定义PHP脚本的Drupal接口以及这些工作。

老实说,这花费了太多的工时,但仍然不是Splunk。

目前,我正在测试Splunk。是的,它不是免费的,但纵观全局,它实际上可能会更便宜。



0

我张贴了骗人的话题: Splunk的价格非常昂贵:有哪些替代品?

xpolog和所有严肃的商业解决方案都是BIG $(即使少于splunk,大多数也很容易达到5位!)

Sooooo,我们最终做了什么(因为splunk太多了):

1)我们想要一个简单的syslog到sql db管道

2)我们尝试了kiwi syslog。这个工具运行了一个星期很好,停止工作了,猕猴桃支持无法修复它。所以我们丢了猕猴桃

3)我们尝试了winsyslog。一个应用程序的老狗,我们不想学习它。

4)我们使用了这个免费的.net应用程序:http : //www.aonaware.com/syslog.htm

瞧 我们的数据库中有系统日志消息。

我们很开心。花费$ 0,有几个小时,但又不过分。


0

我们在这里使用Splunk,他们告诉您的价格令我有些震惊。我们得到的基本故障数据大约为每1GB数据1000美元。它成本高昂,但功能强大,开发起来非常快。根据您的数据源以及您要使用的数据,一些python和perl脚本可能会为您提供许多相似的数据。最大的不同将是时间,而学习真正使用该语言进行文本处理。您也无法获取实时IP信息(类似于syslog),尽管可以通过获取syslogger并将信息输出到文本文件来解决此问题。抱歉,我无法为您提供任何具体的解决方案;我们不能使用splunk的原因是我们使用python,perl和bash脚本。


0

ELSA-企业日志搜索和存档

主要特点:


  • 对消息或已解析字段中的任何单词进行全文搜索。
  • 按任何字段分组并根据结果生成报告。
  • 安排搜索。
  • 在新日志的搜索命中时发出警报。
  • 保存搜索,通过电子邮件发送已保存的搜索结果。
  • 根据搜索结果创建事件凭单(带有插件)。
  • 完整的插件系统以获得结果。
  • 将结果导出为永久链接或以Excel,PDF,CSV和HTML格式导出。
  • 完全LDAP集成以获得权限。
  • 按用户,日志大小和计数查询的统计信息。
  • 完全分布式的体系结构,可以处理n个节点,所有查询并行执行。
  • 压缩档案的比率优于10:1。

性能细节:


对于系统规格,按重要性顺序排列:磁盘大小,RAM,磁盘速度,CPU数量。首要的性能因素是Sphinx的索引器和搜索守护程序,因此请参考sphinxsearch.com以获取文档。我给出的统计数据来自大型系统(16 CPU,144 GB RAM,12 TB HD),但是随着事物线性扩展,在具有4 CPU,8 GB RAM和任何大小的HD的系统上,您将获得相同的性能。该系统首先在具有4 GB RAM和慢速SAN驱动器的IBM刀片服务器上运行,并以大致相同的速度运行,但是4 GB正在使它接近极限。


性能详细信息和主要功能列表,以及体系结构说明:http : //ossectools.blogspot.com/2011/03/fighting-apt-with-open-source-software.html

代码:https//code.google.com/p/enterprise-log-search-and-archive/

虚拟机:http : //ossectools.blogspot.com/2011/07/elsa-vmware-appliance-available.html

有关该项目的详细信息:http : //ossectools.blogspot.com/2011/03/comprehensive-log-collection.html


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.