Equivalente gratuito para el administrador de registro de Splunk

¿Cuál podría ser una alternativa gratuita para Splunk ?

Lo que quiero:

  • fácil instalación (se prefieren los paquetes RPM)

  • recopilación e indexación de registros

  • registro de búsqueda

  • monitoreo y alerta

  • GUI web

Mis archivos de registro son bastante pequeños (pequeño volumen). ¿Cuál podría ser un buen sustituto?

¿Hay alguna razón por la que la edición gratuita de Splunk no funcione para ti?
La edición gratuita de Splunk tiene un límite de registro de 500 MB/día

Respuestas (2)

Reemplazo relativamente bueno de Splunk: logstash con kibana . Obviamente, configurarlo es mucho más complicado que configurar Splunk, pero ofrece un conjunto de funciones similar, pero no tan completo.

Primero, sus requisitos:

Fácil instalación : fallo. La instalación de logstash y kibana requiere varios pasos. No hay paquetes rpm oficiales disponibles. Recientemente evalué todos los administradores de registros gratuitos que pude encontrar, y no había alternativas ricas en funciones que fueran fáciles de instalar.

recopilación e indexación de registros: comprobar. logstash recopila e indexa registros de archivos oa través de syslog, entre otros mecanismos. Todo está indexado a ElasticSearch.

búsqueda de registros : comprobar. ElasticSearch proporciona buenas funciones de búsqueda y filtrado.

monitoreo y alertas : ¿comprobar? logstash admite alertas basadas en tasas y valores de mensajes.

interfaz gráfica de usuario web : comprobar. Kibana ofrece una GUI web decente para logstash.

En mi experiencia, las principales diferencias entre Splunk y logstash/kibana son las siguientes:

  • En Splunk, prácticamente todo es configurable desde la interfaz de usuario e integrado. Esto incluye cosas como la autenticación de usuario. Con logstash/kibana, ese no es el caso. Tanto logstash ("backend") como Kibana ("frontend") tienen muchas opciones que no están muy bien documentadas y requieren ajustes en los archivos de configuración o plantillas (o código).
  • Splunk tiene un mejor rendimiento (pero eso tiene un alto costo). La arquitectura logstash admite el escalado horizontal a varios servidores, si es necesario.
  • Splunk se ve mejor. Para los administradores de sistemas, eso a menudo no importa, pero para el usuario promedio, a menudo marca la diferencia.
  • Splunk analiza algunas entradas de registro mejor que logstash. Sin embargo, el análisis de campo en logstash es lo suficientemente bueno y fácilmente configurable.
  • Con logstash, debe tomar más decisiones manuales (indexación, retención, filtros, métricas, etc.). Partes de la configuración son difíciles de cambiar después. Con Splunk, prácticamente todo es configurable en cualquier momento y los valores predeterminados son buenos.

Existen bastantes herramientas de monitoreo largas, hemos estado usando Logscape. La diferencia entre la solución de código abierto y la comercial sería el tiempo que le toma comenzar.

Logscape y Splunk tienen características similares y estarán bien para lo que quieras hacer. Excluyendo las diferencias en torno a la tenencia de datos y el modelado de datos, la principal diferencia es el volumen de datos que puede usar con la versión gratuita de estas herramientas. Splunk tendrá un límite, pero Logscape es ilimitado siempre que use solo los agentes de recopilación de datos. Los otros componentes del sistema brindan funciones más empresariales.

¡Bienvenido al Intercambio de pilas de recomendaciones de software! Esta publicación no contiene suficiente información para ser considerada una respuesta de alta calidad. Lea nuestra discusión sobre qué hace que una respuesta sea de alta calidad para ver si puede incorporar algunas de estas mejoras en su respuesta; de lo contrario, podría eliminarse.
Equivalente gratuito para el administrador de registro de Splunk
RespuestasAquíPolítica de privacidad1y, 0v