FreeSplunkについての考え
私は自分の会社でSplunkを実装することを検討していますが、金融投資に不安を感じています。十分に良いと思われるSplunkの無料バージョンがあることに気づきました。
あなたの会社で無料版を使用しているかどうか誰かに教えてもらえますか?無料版で十分だと思いますか、それとも最終的な購入の足がかりになりますか?
無料のSplunkを一緒に使用しています OSSECを使用 複数のお客様で使用しており、完全に使用できます。もちろん、非フリーバージョンと比較していくつかの制限があります。
- 1日あたり500MBの制限(1か月に2つまたは3つのピークが許可されます):それほど多くのデータを生成しない場合、これは影響しません
- 認証:無料のSplunkにはありません。この制限を克服するために、Apacheとhttp_authを使用します。これは完璧な解決策ではありませんが、十分に優れています。あなたが唯一のユーザーになる場合は、ローカルホストで実行できます。
- さまざまなユーザー:無料のSplunkにはユーザーが1人しかいません。そのため、パーソナライズされたダッシュボードやカスタマイズは得られません。繰り返しますが、あなたがすべて同じものを探していて、共有することを気にしない場合、またはあなただけである場合は、問題はないはずです。
全体として、無料のSplunk(特にバージョン4)はそれ自体が製品であり、無料でないバージョンの追加機能が必要にならない限り、心配することなく本番環境で使用できます。
全体として、無料のSplunk(特にバージョン4)はそれ自体が製品であり、無料でないバージョンの追加機能が必要にならない限り、心配することなく本番環境で使用できます。
インデックスを作成するデータが少量の場合、上記は当てはまります。
データが制限の範囲内にある場合は、問題が発生していることがわかりました。
私たちは考えました:ヘック、500mb /日、それはたくさんです。それを超えても大したことはありませんが、500MBしか検索できません。
違う!
Splunk Answersサイト によると、制限に達すると、Splunk検索機能が無効になります...一度に数日間。
これにより、Splunkシステムが効果的に削除されます(検索できない場合は、システム全体が砂の袋とほぼ同じくらい便利です)。
「ある暦日にライセンスされた1日のボリュームを超えると、違反の警告が表示されます。メッセージは14日間続きます。エンタープライズライセンスで5回以上違反した場合、または30回のローリングで無料ライセンスで3回違反した場合-日中、検索は無効になります。過去30日間に違反が5(エンタープライズ)または3(無料)未満の場合、またはボリューム制限が大きい新しいライセンスを適用すると、検索機能が返されます。
注:ライセンス違反期間中、Splunkはデータのインデックス作成を停止しません。 Splunkは、ライセンスを超えている間のみアクセスをブロックします。
したがって、有料ライセンスを持っている場合でも、制限に達した場合は、システムを効果的に無効にすることができます。
無料ライセンスでは、デフォルトの管理者パスワードを変更することもできません。これは、ネットワーク上の誰もがデフォルトのadmin:changeme資格情報を使用してインデクサー/フォワーダーにデータを送信できることを意味します。
それについて考えてください。
私たちはロンドンの大手メディア会社の12人のチームです。会社全体で100GBを超えるエンタープライズライセンスを持っていますが、私たちのチームはまだ無料バージョンで別のサーバーを実行しています。これにより、アクセス権と変更制御のために本番システムで時間がかかる構成とインデックス付けの「1回限りの」データバッチをより自由に操作できます。
Splunkの一種の開発/テスト環境ですが、本番環境に移行することを望まないため、常に使用する検索やダッシュボードも多数あります。そうです、無料版は便利です。