我正在考虑在公司实施 Splunk,但对财务投资持谨慎态度。我注意到 Splunk 有一个免费版本,似乎足够好用。
有人能告诉我你们公司是否在使用免费版本吗?你觉得免费版本够用吗,还是只是最终购买的跳板?
答案1
我们一起使用免费的Splunk使用 OSSEC已经在许多客户身上试用过,并且完全可用。当然,与非免费版本相比,它有一些限制:
- 每天限制 500MB(每月允许两到三次峰值):如果你不产生那么多数据,这不会对你造成影响
- 身份验证:免费版 Splunk 没有该功能。我们使用 apache 和 http_auth 来克服这个限制。这不是一个完美的解决方案,但已经足够好了。如果您是唯一的用户,您可以在本地主机上运行它。
- 不同的用户:免费 Splunk 只有一个用户。因此您无法获得个性化仪表板和自定义功能。同样,如果您都在寻找相同的功能,并且不介意共享,或者您是唯一一个,那么应该没有问题。
总的来说,免费的 Splunk(特别是版本 4)本身就是一种产品,可以放心地用于生产,除非您碰巧需要非免费版本的附加功能。
答案2
总的来说,免费的 Splunk(特别是版本 4)本身就是一种产品,可以放心地用于生产,除非您碰巧需要非免费版本的附加功能。
如果您有少量数据需要索引,则上述情况是正确的。
我们发现,如果您的数据在限制范围内,那么您就会遇到麻烦。
我们估计:哎呀,每天 500mb,已经很多了。如果超过了,也没什么大不了的,我们只能搜索其中的 500mb。
错误的!
根据Splunk 问答网站,如果达到限制,Splunk 搜索功能将被禁用...每次禁用几天。
这实际上会杀死你的 splunk 系统(如果你不能搜索,整个系统就和一袋沙子一样没用)。
“如果您在任何一个日历日超出了许可的每日流量,您将收到违规警告。该消息将持续 14 天。如果您在连续 30 天内企业许可证违规 5 次或以上,免费许可证违规 3 次,搜索将被禁用。如果您在过去 30 天内违规次数少于 5 次(企业)或 3 次(免费)或您应用了具有更大流量限制的新许可证,搜索功能将恢复。
注意:在许可证违规期间,Splunk 不会停止索引您的数据。Splunk 仅在您超出许可证时阻止访问。
因此,即使您拥有付费许可证,如果达到限制,您也可以有效地禁用系统。
答案3
您甚至无法使用免费许可证更改默认管理员密码。这意味着网络上的任何人都可以使用默认的 admin:changeme 凭据将数据发送到索引器/转发器。
考虑一下。
答案4
我们是伦敦一家大型媒体公司的 12 人团队。我们拥有超过 100GB 的企业许可证,适用于整个公司,但我们的团队仍在运行一个单独的服务器,使用免费版本。这让我们可以更自由地使用配置和索引“一次性”数据批次,否则由于访问权限和更改控制,这些数据批次在我们的生产系统上需要更长的时间。
它是一种用于 Splunk 的开发/测试环境,但我们还有很多经常使用的搜索和仪表板,我们不想将它们转移到生产中。所以,免费版本很有用。