Gedanken zu Free Splunk

Ich denke darüber nach, Splunk in meinem Unternehmen einzuführen, bin aber bei der finanziellen Investition misstrauisch. Mir ist aufgefallen, dass es eine kostenlose Version von Splunk gibt, die anscheinend gut genug ist.

Kann mir jemand sagen, ob Sie die kostenlose Version in Ihrem Unternehmen verwenden? Finden Sie die kostenlose Version angemessen oder nur ein Sprungbrett für den eventuellen Kauf?

Wir verwenden kostenlosen Splunk zusammen mit OSSEC bei mehreren Kunden und er ist perfekt verwendbar. Natürlich hat es einige Einschränkungen gegenüber der unfreien Version:

• 500 MB pro Tag (mit zwei oder drei zulässigen Peaks pro Monat): Wenn Sie nicht so viele Daten generieren, hat dies keine Auswirkungen auf Sie
• Authentifizierung: Free Splunk hat es nicht. Wir verwenden Apache und http_auth, um diese Einschränkung zu überwinden. Es ist keine perfekte Lösung, aber gut genug. Wenn Sie der einzige Benutzer sind, können Sie es auf localhost ausführen.
• Verschiedene Benutzer: free Splunk hat nur einen Benutzer. Sie erhalten also keine personalisierten Dashboards und Anpassungen. Auch hier sollte es kein Problem geben, wenn Sie alle dasselbe suchen und sich nicht für das Teilen interessieren oder der einzige sind.

Insgesamt ist free Splunk (insbesondere Version 4) ein Produkt für sich und kann problemlos in der Produktion eingesetzt werden, es sei denn, Sie benötigen die zusätzlichen Funktionen der unfreien Version.

Insgesamt ist free Splunk (insbesondere Version 4) ein Produkt für sich und kann problemlos in der Produktion eingesetzt werden, es sei denn, Sie benötigen die zusätzlichen Funktionen der unfreien Version.

Wenn Sie kleine Datenmengen indizieren müssen, gilt das oben Genannte.

Was wir herausgefunden haben, war, dass Sie sich in FEHLER befinden, wenn Ihre Daten im Bereich des Grenzwerts liegen.

Wir dachten uns: Heck, 500mb / Tag, das ist viel. Wenn wir es überschreiten, keine große Sache, können wir nur 500 MB davon durchsuchen.

Falsch!

Laut der Splunk-Antworten-Website ist die Splunk-Suchfunktion bei Erreichen der Grenzwerte ... für jeweils TAGE deaktiviert.

Dies TÖTET effektiv Ihr Splunk-System (wenn Sie nicht suchen können, ist das gesamte System ungefähr so ​​nützlich wie ein Sack Sand).

"Wenn Sie Ihr lizenziertes tägliches Volumen an einem Kalendertag überschreiten, wird eine Verstoßwarnung angezeigt. Die Meldung bleibt 14 Tage lang bestehen. Wenn Sie 5 oder mehr Verstöße gegen eine Enterprise-Lizenz oder 3 Verstöße gegen eine kostenlose Lizenz in einer fortlaufenden 30 haben Die Suchfunktion wird deaktiviert, wenn in den letzten 30 Tagen weniger als 5 (Enterprise) oder 3 (Free) Verstöße aufgetreten sind oder wenn Sie eine neue Lizenz mit einem höheren Volumenlimit anwenden.

Hinweis: Während eines Lizenzverletzungszeitraums hört Splunk nicht auf, Ihre Daten zu indizieren. Splunk blockiert nur den Zugriff, solange Sie Ihre Lizenz überschreiten.

Selbst wenn Sie eine kostenpflichtige Lizenz haben, können Sie das System effektiv deaktivieren, wenn Sie die Grenzwerte erreichen.

Sie können nicht einmal das Standard-Administratorkennwort mit der kostenlosen Lizenz ändern. Dies bedeutet, dass jeder im Netzwerk Daten mit den Standardanmeldeinformationen admin: changeme an den Indexer / Forwarder senden kann.

Denk darüber nach.

Wir sind ein Team von 12 Mitarbeitern in einem großen Medienunternehmen in London. Wir haben eine Unternehmenslizenz von mehr als 100 GB für das gesamte Unternehmen, aber unser Team betreibt weiterhin einen separaten Server mit der kostenlosen Version. Dies gibt uns mehr Freiheit, mit Konfigurationen zu spielen und "einmalige" Datenstapel zu indizieren, die aufgrund von Zugriffsrechten und Änderungskontrollen auf unserem Produktionssystem ansonsten länger dauern würden.

Es ist eine Art Entwicklungs- / Testumgebung für Splunk, aber wir haben auch viele Suchanfragen und Dashboards, die wir die ganze Zeit verwenden, ohne dass wir Lust haben, in die Produktion zu wechseln. Also ja, die kostenlose Version ist nützlich.