मैं वीडियो splunk.com पर देख रहा हूं और वास्तव में यह विश्वास करना कठिन है कि कोई व्यक्ति उन सभी सुविधाओं को मुफ्त में प्राप्त कर सकता है, फिर भी यह है कि "जहां पकड़ है?" मेरे सिर के पीछे।
तो यह बहुत अच्छा होगा अगर कोई भी जो वास्तव में इसका उपयोग उत्पादन पर स्प्लंक कर रहा है, अपने अनुभवों को साझा करना चाहेगा, शायद इसके लाभों को उजागर करता है, कहते हैं, नागियोस?
अग्रिम धन्यवाद।
जवाबों:
हम इसे प्रति दिन 7 + GB डेटा के लिए उपयोग कर रहे हैं, लेकिन हम इसके लिए भुगतान करते हैं। बहुत। मुझे लगता है कि हमें थोड़ी शैक्षणिक छूट मिलती है, लेकिन ज्यादातर हम पैसे खर्च करने को सही ठहराने में कामयाब रहे, क्योंकि इससे ऑडिटर संतुष्ट थे कि कोई हमारे लॉग को देख रहा है।
हम नागों का भी उपयोग करते हैं। हमने कुछ सहेजे गए खोजों के साथ नागों को कॉन्फ़िगर किया है जो स्क्रिप्ट को कॉल करते हैं जो या तो नागोइस अलर्ट उत्पन्न करते हैं या आरटी टिकट बनाते हैं। इसलिए, उदाहरण के लिए, 5 मिनट की समय विंडो (सभी सर्वरों पर) में X लॉगिन विफलताओं के कारण एक चेतावनी उत्पन्न होगी। उस तरह की बात है कि नगियो वास्तव में अपने दम पर नहीं कर सकता है।
पहले हम उन प्रकार के अलर्ट उत्पन्न करने के लिए SEC का उपयोग कर रहे थे , लेकिन यह भी काम नहीं कर रहा था और किसी को अभी भी 20GB फ़ाइल पर grep का उपयोग करने की कोशिश करनी थी।
मुझे यकीन नहीं है कि हमारे पास अब कोई भी नागिन अलर्ट उत्पन्न हुआ है; हमने सबसे अधिक स्विच किया है, यदि नहीं तो आरटी टिकट बनाने के लिए। लॉग विश्लेषण के आधार पर सामान के लिए नगियोस अलर्ट मॉडल वास्तव में अच्छी तरह से काम नहीं करता है, यह एक ऐसी स्थिति के साथ बेहतर है जो अच्छा या बुरा हो सकता है, असतत घटना नहीं जिसे जांच की आवश्यकता हो सकती है।
संपादित करें:
हां, यह वास्तव में हमारे लिए जीवन को बहुत आसान बना देता है। यह लॉग के माध्यम से पकड़ बनाने की कोशिश करने से काफी बेहतर है। हमें विंडोज, लिनक्स और सोलारिस बक्से मिले हैं जो इसे लॉग भेजते हैं।
क्या यह जादुई रूप से वैसा ही मिलता है जैसा आप चाहते हैं कि कुछ वीडियो थोड़े से हैं? नहीं, इसकी कुछ सीमाएँ हैं और इसे विशिष्ट प्रकार के लॉग को अच्छी तरह से संभालने के लिए आपको थोड़ा सा कॉन्फ़िगरेशन करना पड़ सकता है। और अत्यधिक "रोचक" खोजों के लिए डॉक्स के माध्यम से पढ़ने की आवश्यकता होती है और फिर कुछ मिनट प्रतीक्षा करते समय स्पंक सर्वर मंथन होता है। लेकिन, गंभीरता से, यह चट्टानों। मैंने जो देखा है, उससे वास्तव में इसके लीग में और कुछ नहीं है।
मैंने स्प्लंक और नागिओस दोनों के साथ काम किया है और वे दो अलग-अलग अंतरों को पूरा करते हैं।
स्प्लंक लॉग के माध्यम से बहुत सरल और करने में आसान बनाता है। सामान्य समस्याओं के लिए सहेजे गए खोजों को समस्याओं की पहचान करने में अमूल्य हो सकता है। मेरे पास अलग-अलग स्थानों में 2 स्प्लंक सर्वर हैं, वे दोनों मुक्त संस्करण का उपयोग कर रहे हैं क्योंकि मूल्य सीमा से बाहर था और दैनिक अनुक्रमित राशि को अधिक खरीद की आवश्यकता के लिए पर्याप्त नहीं है।
दूसरी ओर नगियो एक महान सक्रिय निगरानी मंच के लिए बनाता है। मेरे पास कई भौगोलिक स्थानों की निगरानी करने वाला एक 5 सर्वर वितरित नागियोस प्लेटफॉर्म है। यह स्प्लंक से बहुत अलग है जो लॉगफाइल्स की निगरानी करता है, नागियोस में सर्विस चेक प्लगइन्स हो सकते हैं जो केवल किसी भी चीज के बारे में सक्रिय रूप से मॉनिटर करने के लिए लिखे गए हैं और आपको समस्याओं के बारे में सूचित करने की अनुमति देते हैं ताकि आप उन्हें हल कर सकें।
मुझे लगता है कि दोनों एक साथ एक बेहतर तस्वीर देते हैं और नेटवर्क बनाए रखने में मदद करते हैं। खासकर अगर यह एक टीम बनाम एक व्यक्तिगत प्रयास है। इसमें शामिल हर कोई एक ही तस्वीर देख सकता है।
यह लॉग प्रोसेसिंग के केवल 500 एमबी / दिन तक मुफ्त है। मैंने इसका परीक्षण किया और यहां तक कि अगर आप 500 एमबी / दिन से कम रहते हैं, तो मैंने पाया कि अधिक "उन्नत" सुविधाओं में से कई को वास्तविक लाइसेंस की आवश्यकता होती है। पर्याप्त रूप से काम करने के लिए बहुत सारे हार्डवेयर संसाधनों की भी आवश्यकता होती है।
मुझे पता है कि एक कंपनी बहुत बड़े पैमाने पर इसका उपयोग कर रही है, लेकिन इसमें बहुत बड़ी राशि भी खर्च होती है (कम अंत लाइसेंस कई हजारों डॉलर होते हैं)।
यह नागियस की तरह अलग-अलग चीजें भी करता है। स्प्लंक ट्रैकिंग के रुझान के लिए बेहतर लगता है या दीर्घकालिक डेटा में ख़ासियत की तलाश में है और तुरंत प्रतिक्रिया करने में सक्षम होने के लिए नागियोस बेहतर है।
एंटरप्राइज़ संस्करण बहुत महंगा है, जो कि वह संस्करण है जिसका आप बड़े पैमाने पर वातावरण में उपयोग कर रहे हैं। यही कारण है कि हमने इसका उपयोग नहीं किया है।
मैंने स्प्लंक का परीक्षण किया है और इसे ADHOC खोजों के लिए बहुत उपयोगी पाया है। हालाँकि, मैंने MSSP के रूप में कई वर्षों से LogLogic का उपयोग किया है क्योंकि यह एक उपकरण समाधान है जिसे 75,000 MPS के रूप में संभालने के लिए तैयार किया गया है, यह एक वितरित आर्किटेक्चर का समर्थन करता है, जो एमडी 5 चेकसम फाइल इंटीग्रिटी (फॉरेंसिक) में बनाया गया है और इसमें कई हैं। अधिकांश लॉग स्रोतों के लिए अनुक्रमणिका रिपोर्ट, रेगेक्स और बूलियन खोज फिल्टर पूर्वनिर्मित हैं।