Pensamentos sobre o Splunk grátis

13

Estou pensando em implementar o Splunk na minha empresa, mas estou preocupado com o investimento financeiro. Eu notei que há uma versão gratuita do Splunk que parece ser boa o suficiente.

Alguém pode me dizer se você está usando a versão gratuita na sua empresa? Você acha que a versão gratuita é adequada ou apenas um trampolim para a eventual compra?

    
por dan_vitch 20.04.2010 / 23:54

4 respostas

15

Usamos o Splunk gratuitamente em com o OSSEC em vários clientes e é perfeitamente utilizável. Claro, tem algumas limitações em comparação com a versão não-livre:

  • Limite de 500MB por dia (com dois ou três picos permitidos por mês): Se você não gerar tantos dados, isso não afetará você
  • Autenticação: o Splunk gratuito não o possui. Usamos o apache e o http_auth para superar essa limitação. Não é uma solução perfeita, mas é boa o suficiente. Se você for o único usuário, poderá executá-lo no host local.
  • Usuários diferentes: o Splunk gratuito tem apenas um usuário. Então você não recebe painéis personalizados e personalização. Novamente, se todos vocês estão procurando o mesmo e não se importam em compartilhar ou você é o único, não deve haver problema.

Em geral, o Splunk gratuito (particularmente a versão 4) é um produto em si e pode ser usado na produção sem preocupações, a menos que você precise dos recursos adicionais da versão não-livre.

    
por 21.04.2010 / 00:01
4

Overall, free Splunk (particularly version 4) is a product per se and can be used in production without worries, unless you happen to need the added features of the non-free version.

Se você tiver pequenas quantidades de dados para indexar, o que precede é verdadeiro.

O que descobrimos foi que, se os seus dados estiverem no intervalo do limite, você está em PROBLEMAS.

Nós imaginamos: Heck, 500mb / dia, isso é muito. Se excedermos, não é grande coisa, só poderemos pesquisar 500 mb dele.

Errado!

De acordo com o site de respostas splunk , se você atingir os limites, o recurso de pesquisa do Splunk será desativado ... por DAYS por vez.

Isso efetivamente MATO seu sistema de splunk (se você não pode procurar, todo o sistema é tão útil quanto um saco de areia).

"Se você exceder o volume diário licenciado em um dia, receberá um aviso de violação. A mensagem persistirá por 14 dias. Se você tiver 5 ou mais violações em uma licença da empresa ou 3 violações em uma licença gratuita em Em um período de 30 dias, a pesquisa será desativada. Os recursos de pesquisa retornam quando você tem menos de 5 (empresa) ou 3 (livre) violações nos últimos 30 dias ou quando você aplica uma nova licença com um limite de volume maior.

Nota: Durante um período de violação de licença, o Splunk não para de indexar seus dados. O Splunk bloqueia apenas o acesso enquanto você excede sua licença.

Portanto, mesmo que você tenha uma licença paga, se atingir os limites, poderá efetivamente desativar o sistema.

    
por 23.02.2011 / 23:24
2

Você não pode alterar a senha do administrador padrão com a licença gratuita. Isso significa que qualquer pessoa na rede pode enviar dados para o indexador / encaminhador com as credenciais padrão admin: changeme.

Pense nisso.

    
por 20.01.2016 / 01:19
2

Somos uma equipe de 12 pessoas em uma grande empresa de mídia em Londres. Temos uma licença corporativa superior a 100 GB para a empresa como um todo, mas nossa equipe ainda executa um servidor separado com a versão gratuita. Isso nos permite mais liberdade para jogar com configurações e indexar lotes "únicos" de dados que, caso contrário, levariam mais tempo em nosso sistema de produção devido a direitos de acesso e controles de alteração.

É uma espécie de ambiente de desenvolvimento / teste para splunk, mas também temos muitas pesquisas e painéis que usamos o tempo todo que não desejamos mover para a produção. Então sim, a versão gratuita é útil.

    
por 02.06.2016 / 12:36

Tags