Pensamentos sobre o Free Splunk

Estou pensando em implementar o Splunk na minha empresa, mas desconfio do investimento financeiro. Percebi que há uma versão gratuita do Splunk que parece ser boa o suficiente.

Alguém pode me dizer se você está usando a versão gratuita na sua empresa? Você acha que a versão gratuita é adequada ou apenas um trampolim para a eventual compra?

Utilizamos o Splunk gratuito junto com o OSSEC em vários clientes e é perfeitamente utilizável. Obviamente, ele tem algumas limitações em comparação com a versão não gratuita:

• Limite de 500 MB por dia (com dois ou três picos permitidos por mês): se você não gerar tantos dados, isso não afetará você
• Autenticação: o Splunk gratuito não possui. Usamos apache e http_auth para superar essa limitação. Não é uma solução perfeita, mas é suficiente. Se você for o único usuário, poderá executá-lo no host local.
• Usuários diferentes: o Splunk gratuito tem apenas um usuário. Portanto, você não recebe painéis e personalização personalizados. Novamente, se todos estão procurando o mesmo e não se importam com o compartilhamento ou são o único, não deve haver problema.

No geral, o Splunk gratuito (principalmente a versão 4) é um produto em si e pode ser usado na produção sem preocupações, a menos que você precise dos recursos adicionais da versão não gratuita.

No geral, o Splunk gratuito (principalmente a versão 4) é um produto em si e pode ser usado na produção sem preocupações, a menos que você precise dos recursos adicionais da versão não gratuita.

Se você tiver pequenas quantidades de dados para indexar, o exposto acima é verdadeiro.

O que descobrimos foi que, se seus dados estão dentro do limite, você está em PROBLEMA.

Nós pensamos: Parreira, 500mb / dia, isso é muito. Se excedermos, não é grande coisa, só conseguiremos pesquisar 500 mb dele.

Errado!

De acordo com o site de respostas do splunk , se você atingir os limites, o recurso de pesquisa do Splunk será desativado ... por DAYS de cada vez.

Isso efetivamente mata o seu sistema de respingos (se você não pode pesquisar, todo o sistema é tão útil quanto um saco de areia).

"Se você exceder o volume diário licenciado em qualquer dia do calendário, você receberá um aviso de violação. A mensagem persiste por 14 dias. Se você tiver 5 ou mais violações em uma licença Enterprise ou 3 violações em uma licença Free em um período contínuo 30 a pesquisa será desativada.Os recursos de pesquisa retornam quando você tem menos de 5 violações (Enterprise) ou 3 (Free) nos últimos 30 dias ou quando aplica uma nova licença com um limite de volume maior.

Nota: Durante um período de violação de licença, o Splunk não para de indexar seus dados. O Splunk apenas bloqueia o acesso enquanto você excede sua licença.

Portanto, mesmo se você tiver uma licença paga, se atingir os limites, poderá desativar efetivamente o sistema.

Você nem pode alterar a senha de administrador padrão com a licença gratuita. Isso significa que qualquer pessoa na rede pode enviar dados para o indexador / encaminhador com as credenciais admin: changeme padrão.

Pense sobre isso.

Somos uma equipe de 12 pessoas em uma grande empresa de mídia em Londres. Temos uma licença corporativa superior a 100 GB para a empresa como um todo, mas nossa equipe ainda executa um servidor separado com a versão gratuita. Isso nos permite mais liberdade de brincar com configurações e indexar lotes únicos de dados que, de outra forma, levariam mais tempo em nosso sistema de produção devido a direitos de acesso e controles de alterações.

É um tipo de ambiente de desenvolvimento / teste para splunk, mas também temos muitas pesquisas e painéis que usamos o tempo todo que não queremos mover para a produção. Então, sim, a versão gratuita é útil.