Nós usamos o Splunk (a versão gratuita) e descobrimos que ele funciona muito bem. Para responder melhor à sua pergunta, preciso saber que tipo de registros você deseja analisar. Você pode contar com a capacidade de analisar o syslog e muitos outros tipos de arquivos de log. No entanto, para logs de eventos do Windows, você ainda pode agregar, mas precisará instalar o Splunk em uma máquina Windows. Não necessariamente um negativo, mas algo a considerar. A versão gratuita permite que você reúna quantas fontes quiser, mas você está limitado na quantidade de dados por dia (acho que são 500MB / dia). Não sei exatamente o que a edição empresarial oferece, mas acho que lembro de ter uma quantidade ilimitada de dados para indexar, várias contas de usuário e a capacidade de ter vários servidores para indexação e pesquisa.
Algumas das desvantagens que vi na nossa edição gratuita estão com as pesquisas e notificações salvas. Usá-lo para pesquisar é muito poderoso, e ele faz uma notificação baseada em buscas salvas, mas este é um processo manual para cada pesquisa. Ele pode enviar automaticamente os resultados por e-mail, mas isso exibe o formato bruto do log. Para ter notificações de e-mail mais agradáveis, tive que criar scripts para cada pesquisa salva, a fim de enviar o e-mail da maneira que gostaria. Tenho certeza de que provavelmente estou usando de maneira diferente do que foi projetado para ser usado, mas é algo a se observar se você tiver os mesmos usos em mente.