有人在大规模生产环境中使用 Splunk 吗？[关闭]

我们每天将其用于 7+GB 的数据，但我们为此付费。很多。我认为我们得到了一点学术折扣，但大多数情况下我们设法证明花钱是合理的，因为它让审计员满意让某人/某事查看我们的日志。

我们也使用 nagios。我们已经为 nagios 配置了一些保存的搜索，这些搜索调用生成 nagios 警报或创建RT票证的脚本。因此，例如，在 5 分钟的时间窗口内（所有服务器）超过 X 次登录失败将生成警报。那是 nagios 自己无法真正做到的事情。

以前我们使用SEC来生成这些类型的警报，但效果不佳，仍然有人不时尝试对 20GB 文件使用 grep。

我不确定我们是否已经生成了任何 nagios 警报；我们已经将大部分（如果不是全部）转换为生成 RT 票证。nagios 警报模型不适用于基于日志分析的东西，它更好地处理状态可能好坏的事情，而不是可能需要调查的离散事件。

编辑：

是的，它确实让我们的生活更轻松。这比尝试通过日志搜索要好得多。我们有 Windows、Linux 和 Solaris 盒子向它发送日志。

它会像某些视频所暗示的那样神奇地找到您想要的东西吗？不，它有一些限制，你可能需要做一些配置才能让它很好地处理特定类型的日志。过于“有趣”的搜索可能需要通读文档，然后在 splunk 服务器运行时等待几分钟。但是，说真的，它摇摆不定。据我所见，它的联盟中确实没有其他东西。

我曾使用过 Splunk 和 Nagios，它们有两个明显的区别。

Splunk 确实使搜索日志变得更加简单和容易。保存对常见问题的搜索对于识别问题非常宝贵。我在不同位置有 2 台 Splunk 服务器，它们都使用免费版，因为定价超出了范围，而且每日索引数量不足以需要购买更多。

另一方面，Nagios 是一个出色的主动监控平台。我有一个 5 服务器分布式 Nagios 平台监控多个地理位置。它与监控日志文件的 Splunk 非常不同，Nagios 可以编写服务检查插件来主动监控几乎所有内容，并允许您收到问题通知以便解决它们。

我发现两者结合在一起可以提供更好的画面，并且确实有助于维护网络。特别是如果这是一个团队与个人的努力。参与的每个人都能看到相同的画面。

每天最多可以免费处理 500MB 的日志处理。我对其进行了测试，即使您每天的流量低于 500MB，我发现许多更“高级”的功能都需要真正的许可证。它还需要大量的硬件资源才能充分工作。

我知道一家公司大规模使用它，但它也花费了很多钱（低端许可证是数千美元）。

它也做与 Nagios 不同的事情。Splunk 似乎更适合跟踪趋势或寻找长期数据的特点，而 Nagios 更适合能够立即做出反应。

企业版非常昂贵，这是您将在大规模环境中使用的版本。这就是我们没有使用它的原因。

Splunk 实际上并不解析日志数据，这使得创建跨越具有不同日志格式的系统的报告变得困难或不可能。这也使得无法进行实际关联，因为没有一致的分类法可以关联。

我测试了 Splunk，发现它对于 ADHOC 搜索非常有用。但是，我现在已经使用 LogLogic 作为 MSSP 好几年了，因为它是一种设备解决方案，可以处理多达 75,000 MPS，它支持分布式架构，提供内置的 MD5 校验和文件完整性（用于取证）并且有许多为大多数日志源预先构建的索引报告、正则表达式和布尔搜索过滤器。