Reflexiones sobre Splunk Gratis

Estoy considerando implementar Splunk en mi empresa, pero desconfío de la inversión financiera. Noté que hay una versión gratuita de Splunk que parece ser lo suficientemente buena.

¿Alguien puede decirme si está utilizando la versión gratuita en su empresa? ¿Considera que la versión gratuita es adecuada o simplemente un trampolín para la compra final?

Usamos Splunk gratis junto con OSSEC en varios clientes y es perfectamente utilizable. Por supuesto, tiene algunas limitaciones en comparación con la versión no gratuita:

• Límite de 500 MB por día (con dos o tres picos permitidos por mes): si no genera tantos datos, esto no le afectará
• Autenticación: Splunk libre no lo tiene. Utilizamos apache y http_auth para superar esta limitación. No es una solución perfecta pero lo suficientemente buena. Si va a ser el único usuario, puede ejecutarlo en localhost.
• Diferentes usuarios: Splunk gratis solo tiene un usuario. Para que no obtenga paneles personalizados y personalización. Nuevamente, si todos están buscando lo mismo y no les importa compartir o si son el único, no debería haber ningún problema.

En general, Splunk gratuito (particularmente la versión 4) es un producto en sí mismo y se puede usar en producción sin preocupaciones, a menos que necesite las características adicionales de la versión no gratuita.

En general, Splunk gratuito (particularmente la versión 4) es un producto en sí mismo y se puede usar en producción sin preocupaciones, a menos que necesite las características adicionales de la versión no gratuita.

Si tiene pequeñas cantidades de datos para indexar, lo anterior es cierto.

Lo que descubrimos fue que si sus datos están en el rango del límite, usted está en PROBLEMAS.

Pensamos: diablos, 500 mb / día, eso es mucho. Si lo superamos, no es gran cosa, solo podremos buscar 500 mb de él.

¡Incorrecto!

De acuerdo con el sitio de respuestas splunk , si llegas a los límites, la función de búsqueda de Splunk está desactivada ... por DÍAS a la vez.

Esto efectivamente mata a su sistema splunk (si no puede buscar, todo el sistema es tan útil como un saco de arena).

"Si excede su volumen diario con licencia en cualquier día calendario, recibirá una advertencia de infracción. El mensaje persiste durante 14 días. Si tiene 5 o más infracciones en una licencia Enterprise o 3 infracciones en una licencia gratuita en un período de 30 días consecutivos de tres días, la búsqueda estará deshabilitada. Las capacidades de búsqueda regresan cuando tiene menos de 5 (Enterprise) o 3 (Gratis) violaciones en los últimos 30 días o cuando aplica una nueva licencia con un límite de volumen mayor.

Nota: Durante un período de infracción de licencia, Splunk no deja de indexar sus datos. Splunk solo bloquea el acceso mientras excede su licencia.

Entonces, incluso si tiene una licencia pagada, si alcanza los límites, puede deshabilitar el sistema de manera efectiva.

Ni siquiera puede cambiar la contraseña de administrador predeterminada con la licencia gratuita. Esto significa que cualquier persona en la red puede enviar datos al indexador / reenviador con las credenciales admin: changeme predeterminadas.

Piénsalo.

Somos un equipo de 12 personas en una gran empresa de medios en Londres. Tenemos una licencia empresarial de más de 100 GB para la empresa en su conjunto, pero nuestro equipo aún ejecuta un servidor separado con la versión gratuita. Esto nos da más libertad para jugar con configuraciones e indexar lotes de datos 'únicos' que de otro modo tomarían más tiempo en nuestro sistema de producción debido a los derechos de acceso y los controles de cambio.

Es una especie de entorno de desarrollo / prueba para splunk, pero también tenemos muchas búsquedas y paneles que usamos todo el tiempo y que no deseamos pasar a la producción. Entonces sí, la versión gratuita es útil.