Réflexions sur Free Splunk

13

J'envisage de mettre en œuvre Splunk dans mon entreprise, mais je me méfie de l'investissement financier. J'ai remarqué qu'il existe une version gratuite de Splunk qui semble être assez bonne.

Quelqu'un peut-il me dire si vous utilisez la version gratuite dans votre entreprise? Trouvez-vous la version gratuite adéquate, ou juste un tremplin pour l'achat éventuel?

splunk 
dan_vitch
source

Réponses:

15

Nous utilisons gratuitement Splunk avec OSSEC sur plusieurs clients et il est parfaitement utilisable. Bien sûr, il a quelques limitations par rapport à la version non gratuite:

  • Limite de 500 Mo par jour (avec deux ou trois pics autorisés par mois): si vous ne générez pas autant de données, cela ne vous affectera pas
  • Authentification: Splunk gratuit ne l'a pas. Nous utilisons apache et http_auth pour surmonter cette limitation. Ce n'est pas une solution parfaite mais assez bonne. Si vous êtes le seul utilisateur, vous pouvez l'exécuter sur localhost.
  • Différents utilisateurs: Splunk gratuit n'a qu'un seul utilisateur. Vous n'avez donc pas de tableaux de bord et de personnalisation personnalisés. Encore une fois, si vous recherchez tous la même chose et que vous ne vous souciez pas du partage ou que vous êtes le seul, cela ne devrait poser aucun problème.

Dans l'ensemble, le Splunk gratuit (en particulier la version 4) est un produit en soi et peut être utilisé en production sans soucis, sauf si vous avez besoin des fonctionnalités supplémentaires de la version non gratuite.

chmeee
source
1
Le splunk gratuit ne permettra pas non plus les recherches programmées, ce qui, selon mon expérience, entrave considérablement la convivialité du produit.
thepocketwade
1
Soit dit en passant, il s'agit de 5 `` violations de licence '' par mois, lorsque la 6e se produit, elle continue d'accepter et d'indexer les événements, mais vous ne pouvez pas rechercher ces événements jusqu'à ce que vous augmentiez votre licence.
Chopper3
4

Dans l'ensemble, le Splunk gratuit (en particulier la version 4) est un produit en soi et peut être utilisé en production sans soucis, sauf si vous avez besoin des fonctionnalités supplémentaires de la version non gratuite.

Si vous avez de petites quantités de données à indexer, ce qui précède est vrai.

Ce que nous avons découvert, c'est que si vos données sont dans la plage de la limite, vous êtes en PROBLÈME.

Nous avons pensé: Heck, 500mb / jour, c'est beaucoup. Si nous le dépassons, ce n'est pas grave, nous ne pourrons en rechercher que 500 Mo.

Faux!

Selon le site de réponses Splunk , si vous atteignez les limites, la fonction Splunk Search est désactivée ... pendant DAYS à la fois.

Cela TUE efficacement votre système splunk (si vous ne pouvez pas rechercher, l'ensemble du système est à peu près aussi utile qu'un sac de sable).

«Si vous dépassez votre volume quotidien sous licence au cours d'une journée civile, vous recevrez un avertissement de violation. Le message persiste pendant 14 jours. Si vous avez 5 violations ou plus sur une licence Enterprise ou 3 violations sur une licence gratuite dans un 30 période de deux jours, la recherche sera désactivée. Les capacités de recherche reviennent lorsque vous avez moins de 5 violations (Enterprise) ou 3 (gratuites) au cours des 30 derniers jours ou lorsque vous appliquez une nouvelle licence avec une limite de volume plus importante.

Remarque: Pendant une période de violation de licence, Splunk n'arrête pas d'indexer vos données. Splunk ne bloque l'accès que lorsque vous dépassez votre licence.

Donc, même si vous avez une licence payante, si vous atteignez les limites, vous pouvez effectivement désactiver le système.

Jonesome Reinstate Monica
source
2

Vous ne pouvez même pas changer le mot de passe administrateur par défaut avec la licence gratuite. Cela signifie que n'importe qui sur le réseau peut envoyer des données à l'indexeur / transitaire avec les informations d'identification admin: changeme par défaut.

Pensez-y.

mr.zog
source
2

Nous sommes une équipe de 12 personnes dans une grande entreprise de médias à Londres. Nous avons une licence d'entreprise de plus de 100 Go pour l'entreprise dans son ensemble, mais notre équipe gère toujours un serveur distinct avec la version gratuite. Cela nous donne plus de liberté pour jouer avec les configurations et indexer des lots de données `` uniques '' qui autrement prendraient plus de temps sur notre système de production en raison des droits d'accès et des contrôles de modification.

C'est une sorte d'environnement de développement / test pour Splunk, mais nous avons également beaucoup de recherches et de tableaux de bord que nous utilisons tout le temps et que nous n'avons aucune envie de passer à la production. Alors oui, la version gratuite est utile.

nick fox
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.