Splunk给我留下了深刻的印象,尤其是第 4 版。漂亮的图表、警报(仅限企业版)以及快速、准确的搜索。这是一个很棒的产品。
然而,成本太高,无法考虑为我们公司全面生产使用。我们真正需要的是能够在一个中心位置索引不同的日志,并对其进行合理的搜索。基于已保存搜索的警报也非常好。我们并没有真正超越这一点。
事实上,我们最大的用途是部署新的应用程序。一切都通过 log4net 记录到 Windows 上的事件日志或 Linux 上的文本文件。Splunk 使快速搜索这些内容变得非常容易,以确保应用程序的所有部分都正常工作——与寻找单个日志源相比,这为我们节省了大量时间。
这个市场有哪些替代品?我有一种下沉的感觉,Splunk 的定价如此之高,因为他们拥有迄今为止最好的产品,而且他们知道这一点。我们希望服务器在 Windows 上运行。
我对拆分模型持开放态度,将一种产品用于一般日志(通过 syslog/Snare 收集),并为我们的自定义应用程序(如Log4Net Dashboard)使用一种专用产品。
使用发送到 SQL Server(可能启用全文)的简单系统日志服务器(例如 Kiwi)是否可行?
我希望成本应该远低于 5 位数,美元。(是的,我知道,我们很便宜。我们是一家资金很少的初创公司,而 BizSpark 负责我们所有的 MS 许可。)
编辑:我应该补充一下,我们有大约 10 台物理服务器、20 台虚拟机以及几个防火墙和交换机。90% 是 Windows。
可能的重复:
Splunk 的替代品?
这个已经讨论过了,但是已经几个月了,所以可能是时候重新审视它了:
郑重声明,Splunk 非常棒。但是定价完全超出了我们的考虑范围(当我今天与 Splunk 交谈时,系统索引 5GB/天的数据的成本超过 30,000 美元。)
这比我们在 SQL Server 上花费的钱(成倍数)多,比我们在服务器机架上花费的钱数(成倍数)多,等等。
splunk 销售团队是正确的(30,000 美元,我们获得的价值和功能比我们花同样的钱构建自己的系统要多),但这并不重要。splunk 成本太高了(成倍增加)。
Soooooo,我们在环顾四周!
有没有人在那里构建类似 splunk 的系统?
我们的基本需求:
我们目前需要索引 3-5gb/天,但需要能够扩展到 10gb/天或更多。我们不需要很多历史记录(30 天就可以了)。
我们使用 Windows 2008 和 2003 服务器。
谢谢你的想法!
更新:我们花了两周时间研究商业和开源选项。我们的结论:写我们自己的(我们是一家软件公司……我们知道如何写东西)。我们在 mongodb 和 .NET 上构建了一个很棒的系统,它在大约一个工程周内为我们提供了我们需要的 MongoDB 功能。我们现在已经完成了我们的实施。我们使用两台 Mongodb 服务器(主从),能够记录和索引任意数量的日志数据(5GB/天、15GB/天等),仅受磁盘空间的限制。
更新至更新(2012 年 12 月):我们继续使用我们的 mongodb 解决方案,而且效果很好!如果我们今天要构建它,我们会强烈考虑在 elasticsearch 之上构建它。
观察:这个空间需要一个固定价格为 1000-3000 美元的可靠解决方案。商业公司使用的许可模型基于“挤奶数据中心操作员”模型。那是他们的权利(当然!),但它留下了一个巨大的空间让某人进入他们下面。我的猜测是,再过一两年,将会有一个很好的开源解决方案,它会真正可用。
感谢大家的投入(即使是自我推销)。
我们有 3 个专用服务器,使用 openVZ 分成几个 VPS。我们使用 munin 来监控生产站点的 VPS,并监控其中一个 VPS 以确保它在出现故障时重新启动服务。
问题是我们需要一种更好的方法来监控我们所有的服务器,因为我们有多达 14 个 VPS,我们希望有一个中心集线器,在那里我们不仅可以看到 munin 收集的数据,还可以看到更多额外的统计数据关于我们服务的网络和性能。
我们的一些要求:
- 失败时的 SMS 通知(设置某些自定义验证的能力)
- apache error_log 和其他一些的日志分析器。
- 必须是中央的(意味着一台服务器和几个收集数据的节点)。
- 不需要易于安装但易于维护。
- 需要自由
我一直在提到 nagios 和 splunk,你怎么看?谢谢,
我正在考虑在我的公司实施 Splunk,但对财务投资持怀疑态度。我注意到 Splunk 的免费版本似乎已经足够好了。
谁能告诉我您公司是否使用免费版本?您认为免费版本是否足够,或者只是最终购买的跳板?
我一直在 splunk.com 上观看视频,真的很难相信人们可以免费获得所有这些功能,但仍然存在“问题在哪里?” 在我的后脑勺。
因此,如果有人真正在生产中使用 Splunk 的人愿意分享他们的经验,也许会突出其优势,例如 Nagios?
非常感谢。
我正在http://www.splunk.com 上观看视频,作为 IT 管理新手,这似乎是让我入门的绝佳解决方案。但我有顾虑。我刚从 cPanel 搬来,我不想最终依赖另一个陷入困境、过载的系统。我想知道你们中是否有人使用它,如果是,你喜欢还是不喜欢它?
我真的在寻找一种解决方案来帮助整理服务器日志并诊断服务器何时受到攻击。Splunk 似乎是一个非常好的解决方案,但有没有更好的解决方案,最好是免费的?
我正在尝试使用 MSI 部署类型将 Splunk UniversalForwarder 作为 SCCM 应用程序部署到一小组测试服务器,并且遇到了 MSI 安装程序的异常混乱问题。
部署类型本身非常简单。我将 MSI 文件 (splunkforwarder-6.2.1-245427-x64-release.msi) 上传到 SCCM 站点服务器,并让检测方法从 MSI 自动填充。我所做的唯一一件事就是更改安装字符串以包含以下参数:
msiexec.exe /lv splunkinstall.log /i "splunkforwarder-6.2.1-245427-x64-release.msi" AGREETOLICENSE=YES DEPLOYMENT_SERVER="splunkd.security.contoso.com" /quiet /norestart /qn
由于包含/lv开关,我可以转到 C:\Windows\CCMcache 文件夹并查看安装日志:
GetPreviousSettings: Error: DetermineContextForAllProducts failed witht: 0x65b.
GetPreviousSettings: Error 0x80004005: Failed to GetInstalledSplunkSettings.
GetPreviousSettings: Info: Leave GetPreviousSettings: 0x80004005.
CustomAction GetPreviousSettings returned actual error code 1603 (note this may not be 100% accurate if translation happened inside sandbox)
Action ended 14:20:23: GetPreviousSettings. Return value 3.
有点谷歌功能,我在Splunk 的社区支持上 …
我已经安装了 Splunk(Windows 上的 4.1.5(85165))并且上传了一些日志,没有任何问题。
我现在想监控一个 linux 服务器,但我在添加数据源时遇到问题并且总是收到消息:
Encountered the following error while trying to save: In handler 'monitor': Path must be absolute.
我正在使用 Splunk Web 并将主机字段值设置为两个服务器的 IP 地址和服务器上的完整路径/var/log(并尝试了各种其他组合)。
在 Linux 服务器上,我已添加*.*@192.168.254.100到 syslog.conf。
我已经阅读了手册,但它并没有真正帮助。我发现缺少教程。现在几乎在考虑放弃 Splunk 的想法。我显然在这里缺少某种基本信息。任何人都可以帮忙吗?被指出一些像样的教程的方向会很好......
我无法理解所有这些数据如何发送到 Splunk 以及 Splunk 如何拦截/检索它。
splunk ×8
log-files ×2
syslog ×2
centos ×1
datacenter ×1
monitoring ×1
msi ×1
nagios ×1
sccm ×1
sccm-2012-r2 ×1
ubuntu ×1
windows ×1