Relatief goede Splunk-vervanging: logstash door kibana. Het is duidelijk dat het opzetten ervan veel gecompliceerder is dan het opzetten van Splunk, maar het biedt vergelijkbare, maar niet zo complete, functieset.

Ten eerste, uw vereisten:

Gemakkelijk installatie : mislukt. Het installeren van logstash en kibana vereist meerdere stappen. Er zijn geen officiële rpm-pakketten beschikbaar. Ik heb onlangs alle gratis logboekbeheerders geëvalueerd die ik kon vinden, en er waren geen veelzijdige alternatieven die gemakkelijk te installeren waren.

logboeken verzamelen en indexeren : check. logstash verzamelt en indexeert logboeken van bestanden of via syslog, naast andere mechanismen. Alles wordt geïndexeerd naar ElasticSearch.

logboeken doorzoeken : check. ElasticSearch biedt goede zoek- en filterfaciliteiten.

monitoring en alarmering : check? logstash ondersteunt waarschuwingen op basis van berichtsnelheden en waarden.

web gui : check. Kibana biedt een fatsoenlijke web-GUI voor logstash.

Naar mijn ervaring zijn de belangrijkste verschillen tussen Splunk en logstash / kibana de volgende:

• In Splunk is vrijwel alles configureerbaar vanuit gebruikersinterface en ingebouwd. Dit omvat zaken als gebruikersauthenticatie. Met logstash / kibana is dat niet het geval. Zowel logstash ("backend") als Kibana ("frontend") hebben tal van opties die niet al te goed gedocumenteerd zijn, en vereisen het aanpassen van instellingenbestanden of sjablonen (of code).
• Splunk presteert beter (maar die hoge kosten met zich meebrengt). logstash-architectuur ondersteunt horizontaal schalen naar meerdere servers, indien nodig.
• Splunk ziet er beter uit. Voor sysadmins maakt dat vaak niet uit, maar voor de gemiddelde gebruiker maakt het vaak het verschil.
• Splunk parseert sommige logboekvermeldingen beter dan logstash. Het ontleden van velden in logstash is echter goed genoeg en gemakkelijk te configureren.
• Met logstash moet u meer handmatige beslissingen nemen (indexering, retentie, filters, statistieken enz.). Onderdelen van de configuratie zijn achteraf moeilijk te wijzigen. Met Splunk is vrijwel alles op elk moment configureerbaar en de standaardinstellingen zijn goed.

Er zijn nogal wat lange monitoringtools beschikbaar, we hebben Logscape gebruikt. Het verschil tussen de open source en commerciële oplossing zou zijn hoe lang het duurt voordat je aan de slag bent.

Logscape en Splunk hebben vergelijkbare functies en zullen goed zijn voor wat u wilt doen. Exclusief de verschillen rond dataduurzaamheid en datamodellering, is het belangrijkste verschil de hoeveelheid gegevens die u kunt gebruiken met de gratis versie van deze tools. Splunk wordt afgetopt, maar Logscape is onbeperkt, zolang u alleen de agenten voor gegevensverzameling gebruikt. De andere systeemcomponenten bieden meer zakelijke functies.