Usamos o Splunk gratuitamente em com o OSSEC em vários clientes e é perfeitamente utilizável. Claro, tem algumas limitações em comparação com a versão não-livre:
- Limite de 500MB por dia (com dois ou três picos permitidos por mês): Se você não gerar tantos dados, isso não afetará você
- Autenticação: o Splunk gratuito não o possui. Usamos o apache e o http_auth para superar essa limitação. Não é uma solução perfeita, mas é boa o suficiente. Se você for o único usuário, poderá executá-lo no host local.
- Usuários diferentes: o Splunk gratuito tem apenas um usuário. Então você não recebe painéis personalizados e personalização. Novamente, se todos vocês estão procurando o mesmo e não se importam em compartilhar ou você é o único, não deve haver problema.
Em geral, o Splunk gratuito (particularmente a versão 4) é um produto em si e pode ser usado na produção sem preocupações, a menos que você precise dos recursos adicionais da versão não-livre.