Beste svaret
Vi gjorde faktisk en omfattende analyse på Dun og Bradstreet Credibility Corp (ikke å forveksle med D&B Proper), på loggfilanalyse. Jeg har brukt Splunk siden versjon 1.0 i liten kapasitet (den kunne ikke håndtere mye da) og 5 år senere på en distribuert måte med flere noder med en 100G / dag-lisens.
Jeg har funnet ut at med Splunk har du et bredt utvalg av konfigurasjonsalternativer, nesten for mange hvis du vil. Hvis du vil legge til et nytt felt for å være søkbar, må du redigere noen konfigurasjonsfiler, laste Splunk-serveren din på nytt og deretter definere spørsmålene dine . Det er robust, men ulempen er kostnad og kompleksitet.
Logstash, det eneste andre levedyktige alternativet jeg har funnet for Splunk bortsett fra noe hjemmelaget som Flume / Scribe (mye teknisk innsats for å realisere det gjør dette) er utmerket på de fleste måter. Brukes i forbindelse med Kibana (http://rashidkpc.github.com/Kibana/), destillerer det alle de beste funksjonene i Splunk (som fasettert søk, aggegations, topp ti feil, deltas osv.) til et brukervennlig system. Kudos til Mr. Sissel for denne oppfinnelsen, det er et eksempel på utmerket programvare.
Imidlertid at Hvis du har et system som Kibana / Logstash, er det ingeniørarbeid involvert, som stiller spørsmålet. Vil du konstruere hva du bruker for å finne problemer og trender i infrastrukturen din?
Svaret er, det avhenger. Hvis du er et stort selskap (som Etsy) og har ressursene, eller en dedikert ingeniør til å håndtere denne prosessen, er det kanskje fornuftig. Hvis du er en liten butikk med et lite budsjett, vil du sannsynligvis ikke kjøpe noe og vil takle krefter og tid på å opprettholde et slikt system.
Hvis du er hvor som helst i mellom, der ting blir vanskelig. Dette avhenger av:
1) Hvor raskt du trenger denne løsningen 2) Den virkelige kostnaden for denne løsningen («gratis» som i en gratis valp) 3) Kultur for kjøp vs bygg 4) Pålitelighet og tilgjengelig støtte
Det var mange andre faktorer i karaktersystemet vårt, men dette er de viktigste avgjørelsespunktene.
Vi bestemte oss i vårt tilfelle at selv om vi virkelig liker Logstash, må det modnes litt før den blir vurdert som en løsning er vi for eksempel villige til å bruke på produksjonsmaskiner.
Disse hovedårsakene er: – Tilgjengelig støtte (kommersiell / ikke) – Krever dedikert teknisk innsats / ingeniørdesign – Distro-støtte ( den skal pakkes i deb / rpm-pakker) – JVM-fotavtrykk (det ser ut til å være en 400M-prosess for oss, kanskje dette var et konfigurasjonsproblem. – Ingen dashboards
Til slutt bestemte vi oss for SumoLogic, fordi det var : – rask å distribuere (installer java binær, slå opp, installer nøkkel, ferdig) – flerplattform – avanserte dashbord – varsling – rapportering – kraftigere søkesyntaks
Svar
Det er mange gode produkter, men Splunk var en av de første som brukte en søkemotor til å indeksere data og levere analyser over logger på en så fleksibel måte.
Splunk ble opprettet i 2003. Den er integrert med mange kilder ettersom samfunnet er sterkt og har en veldig kraftig transaksjonsfunksjon. Likevel har Splunk yngre konkurrenter som utnytter de nyeste ergonomiske forbedringene og teknologiforbedringene.
Er Splunk den beste? Som andre sa, avhenger det virkelig av dine behov. Så husk disse punktene, og bestem deg selv. Her er en hjernedump av hva som kan gjøre en forskjell:
- On-premise vs SaaS: selv om det definitivt er lederen for On-premise-løsninger tilbyr mange SaaS-konkurrenter en annen god tilnærming for å løse maskinens datautfordring. Lokalt er vanligvis dyrere, krever mer vedlikeholdstid og versjonsoppdateringer er smertefulle – men det garanterer også at dataene dine ikke strømmer ut av infrastrukturene dine. Selv om Splunk-Cloud er et forsøk på å bringe Splunk til skyen så vidt jeg forsto, var de første versjonene ikke vellykkede, og de avbrøt tjenesten for å starte den på nytt.
- Datakilder: hva er dataene du vil innta. Hvilke kilder vil du administrere? Noen prosjekter er relatert til logger, beregninger og «data machine» og andre handler mer om sikkerhetskopiering av databaser, excel-filer. Splunk er en generell løsning, SaaS-baserte løsninger er ofte mer spesifikke (og ofte bedre enn generalister).
- Feilsøking vs applikativ BI: Splunk-brukere bruker vanligvis mye tid i hovedvisningen, søker i logger og bruker den rørbaserte søkefeltet. Splunk lar også brukere lage dashbord fra analytics – men de er ganske statiske og viser bare KPI-er. Og jeg tror virkelig at det er en stor feil ved Splunk.Indeed, hvis du nå vil tilby et verktøy som kan brukes av ikke-tekniske personer i selskapet – som kundesupport, salg osv.Du vil sannsynligvis ha klikkbare dashbord der alle enkelt kan skjære og terne og få svar raskt. Kibana gjør dette veldig bra som en åpen løsning og for SaaS Logmatic.io har også denne flotte funksjonen som virkelig gjør en virkelig forskjell.
- Hvem er sluttbrukerne dine ?: Er det et verktøy bare for deg IT-teamet, eller planlegger du å legge det i hendene på forretningsfolk som support-, markedsførings- eller ledergrupper? I mange prosjekter er suksessnøkkelen den brukervennlige løsningen. Fra min erfaring er Splunk for teknisk, og vanligvis bruker Devops det hver dag, men det har rykte om å ha dårlig brukervennlighet blant andre mennesker som graverer rundt målapplikasjoner, til og med utviklere … Nyere løsninger som de jeg nevnte i det siste punktet ha bedre adopsjonsrater.
- Hjemmelaget vs produkt: som On-premise vs SaaS-valget, jeg tror det handler mer om din tilhørighet , vil du ha ditt eget verktøy og ta deg tid til å bygge det, eller et eksternt støttet produkt. Hvis du bestemmer deg for å gå til ElasticSearch og Kibana: skulle det mislykkes når du trenger det mest, får teamet mye press med ingen andre til å håndtere det. Med Splunk eller Logmatic.io, er støtten og rådgivningen over loggstrategier og andre relaterte emner vanligvis veldig effektiv. Da tar du vanligvis bedre avgjørelser og sover godt.
Siden spørsmålet var veldig åpent, var svaret mitt litt langt, men jeg håper jeg ga litt veiledning og det vil hjelpe deg med din beslutning!: )