Nous l'utilisons pour 7 + Go de données par jour, mais nous payons pour cela. Beaucoup. Je pense que nous obtenons un peu de remise académique, mais surtout nous avons réussi à justifier de dépenser l'argent parce que cela satisfaisait les auditeurs d'avoir quelqu'un / quelque chose en train de regarder nos journaux.
Nous utilisons également des nagios. Nous avons configuré les nagios avec des recherches enregistrées qui appellent des scripts qui génèrent des alertes nagios ou créent des tickets RT . Ainsi, par exemple, plus de X échecs de connexion dans une fenêtre de temps de 5 minutes (sur tous les serveurs) généreront une alerte. C'est le genre de chose que les nagios ne peuvent pas vraiment faire par eux-mêmes.
Auparavant, nous utilisions SEC pour générer ce type d'alertes, mais cela ne fonctionnait pas aussi bien et quelqu'un devait encore essayer d'utiliser grep sur un fichier de 20 Go de temps en temps.
Je ne suis pas sûr que des alertes nagios soient générées; nous avons passé la plupart, sinon la totalité, à la génération de tickets RT. Le modèle d'alerte nagios ne fonctionne pas vraiment bien pour les choses basées sur l'analyse des journaux, il est meilleur dans les choses avec un état qui peut être bon ou mauvais, pas un événement discret qui peut nécessiter une enquête.
ÉDITER:
Oui, cela nous facilite vraiment la vie. C'est nettement mieux que d'essayer de parcourir les journaux. Nous avons des boîtes Windows, Linux et Solaris pour lui envoyer des journaux.
Est-ce qu'il trouve comme par magie exactement ce que vous voulez comme le suggèrent certaines vidéos? Non, il y a quelques limitations et vous devrez peut-être faire un peu de configuration pour qu'il gère bien certains types de journaux. Et les recherches trop «intéressantes» peuvent nécessiter de lire les documents et d'attendre quelques minutes pendant que le serveur splunk tourne. Mais, sérieusement, ça bascule. D'après ce que j'ai vu, il n'y a vraiment rien d'autre dans sa ligue.