Nejlepší odpověď
Ve skutečnosti jsme provedli komplexní analýzu na Dun a Bradstreet Credibility Corp (nezaměňovat s D&B Proper), o analýze log souboru. Splunk jsem používal od verze 1.0 v malé kapacitě (to už moc nezvládám) a o 5 let později ve víceuzlovém distribuovaném módu s licencí 100G / den.
Zjistil jsem že se Splunkem máte širokou škálu konfiguračních možností, pokud je to téměř příliš mnoho. Chcete-li přidat nové pole, které bude možné prohledávat, musíte upravit několik konfiguračních souborů, znovu načíst server Splunk a definovat dotazy . Je to robustní, ale nevýhodou je cena a složitost.
Logstash, jediná další životaschopná alternativa, kterou jsem našel pro Splunk, kromě něčeho domácího, jako je Flume / Scribe (spousta technického úsilí realisticky to this) is greater in most ways. Used in combination with Kibana (http://rashidkpc.github.com/Kibana/) it distills all of the best features of Splunk (such as faceted searching, aggegations, top ten errors, deltas atd.) do snadno použitelného systému. Kudos panu Sisselovi za tento vynález, je to příklad vynikajícího softwaru.
Nicméně V případě systému, jako je Kibana / Logstash, je zapojeno technické úsilí, které vyvolává otázku, chcete vytvořit to, co používáte, abyste našli problémy a trendy ve své infrastruktuře?
Odpověď je, že záleží. Pokud jste velká společnost (jako Etsy) a máte prostředky nebo specializovaný inženýr pro správu tohoto procesu, pak to možná dává smysl. Pokud jste malý obchod s malým rozpočtem, pravděpodobně nebudete něco kupovat a nebudete se snažit a zabývat se údržbou takového systému.
Pokud jste kdekoli mezi tím, „kde se věci stávají složitějšími. To záleží na:
1) Jak rychle toto řešení potřebujete 2) Skutečné náklady na toto řešení („zdarma“ jako u štěněte zdarma) 3) Kultura nákupu vs. sestavení 4) Spolehlivost a dostupná podpora
V našem systému hodnocení bylo mnoho dalších faktorů, ale toto jsou hlavní rozhodovací body.
V našem případě jsme se rozhodli, že ačkoli se nám Logstash opravdu líbí, musí trochu dozrát dříve, než bude považováno za řešení, jsme ochotni jej nasadit například na výrobní stroje.
Mezi tyto hlavní důvody patří: – dostupná podpora (komerční / ne) – vyžaduje specializované technické úsilí / technický design – podpora společnosti Distro ( mělo by být zabaleno v balíčcích deb / rpm) – stopa JVM (zdá se, že je to pro nás proces 400M, možná to byl problém s konfigurací. – žádné řídicí panely
Nakonec jsme se rozhodli pro SumoLogic, protože to bylo : – rychlé nasazení (instalace binárního souboru Java, spuštění, instalace klíče, hotovo) – více platforem – pokročilé řídicí panely – upozornění – hlášení – výkonnější syntaxe vyhledávání
Odpověď
Existuje spousta dobrých produktů, ale Splunk byl jedním z prvních, kdo používal vyhledávač k indexování dat a poskytoval analytické protokoly tak flexibilním způsobem.
Splunk byl vytvořen v roce 2003. Je integrován do mnoha zdrojů, protože komunita je silná a má velmi výkonnou funkci vyhledávání transakcí. Přesto má Splunk mladší konkurenty, kteří využívají nejnovější ergonomická a technologická vylepšení.
Je Splunk nejlepší? Jak řekli jiní, opravdu záleží na vašich potřebách. Mějte tedy na paměti tyto body a rozhodněte se sami. Zde je mozkový výpis toho, co by mohlo změnit:
- On-premise vs SaaS: i když je to rozhodně lídr pro on-premise řešení nabízí mnoho konkurentů SaaS další dobrý přístup k řešení problému strojových dat. Místní provoz je obvykle dražší, vyžaduje více času na údržbu a aktualizace verzí jsou bolestivé – ale také zaručuje, že vaše data nevytekají z vaší infrastruktury. Ačkoli je Splunk-Cloud pokusem přivést Splunk do cloudu, pokud jsem pochopil, jeho první verze nebyly úspěšné a přerušily službu, aby ji později znovu spustily.
- Zdroje dat: jaká data chcete přijímat. Jaké zdroje chcete spravovat? Některé projekty se týkají protokolů, metrik a „datového stroje“ a jiné se týkají více zálohování databází, souborů aplikace Excel. Splunk je řešení pro všeobecné účely, řešení založená na SaaS jsou velmi často konkrétnější (a často lepší než všeobecní).
- Řešení problémů vs Applicative BI: Uživatelé Splunk obvykle tráví spoustu času v hlavním zobrazení, hledáním v protokolech a pomocí vyhledávací lišty založené na potrubí. Splunk také umožňuje uživatelům vytvářet dashboardy z analytiky – ale jsou docela statické a zobrazují pouze KPI. A opravdu si myslím, že je to velká chyba Splunk.Indeed, pokud nyní chcete poskytnout nástroj, který je použitelný netechnickými lidmi ve společnosti – jako je zákaznická podpora, prodej atd.Pravděpodobně budete chtít mít klikatelné řídicí panely, kde může kdokoli snadno rozdělit a kostky a rychle získat odpovědi. Kibana to dělá velmi dobře jako řešení s otevřeným zdrojem a od SaaS Logmatic.io mají také tuto skvělou funkci, která skutečně přináší skutečný rozdíl.
- Kdo jsou vaši koncoví uživatelé ?: Je to nástroj pouze pro vaše IT tým, nebo to plánujete dát do rukou podnikatelů, jako jsou týmy podpory, marketingu nebo managementu? U mnoha projektů je klíčem k úspěchu snadné použití řešení. Z mých zkušeností je Splunk příliš technický a obvykle ho Devops používá každý den, ale má pověst špatné použitelnosti mezi ostatními lidmi gravitujícími kolem cílových aplikací, dokonce i vývojářů … Novější řešení, jako jsou ta, která jsem zmínil v posledním bodě mít lepší míru adopce.
- Domácí vs produkt: jako volba On-premise vs SaaS, myslím, že je to spíš o vaší afinitě Chcete svůj vlastní nástroj a potřebujete čas na jeho sestavení, nebo produkt s externí podporou. Pokud se rozhodnete pro ElasticSearch a Kibanu: pokud by selhalo, když to nejvíce potřebujete, váš tým je pod velkým tlakem a nikdo jiný to nezvládne. Ve Splunk nebo Logmatic.io je podpora a konzultace ohledně logovacích strategií a dalších souvisejících témat obvykle efektivní. Potom se obvykle rozhodnete lépe a budete spát pevně.
Jelikož byla otázka velmi otevřená, byla moje odpověď trochu dlouhá, ale doufám, že jsem vám poskytl nějaké pokyny a pomůže vám s vaším rozhodnutím!: )