有人在大規模生產環境中使用 Splunk 嗎？

我一直在 splunk.com 上觀看影片，真的很難相信一個人可以免費獲得所有這些功能，但仍然存在“問題在哪裡？” 在我的腦後。

因此，如果有人在生產中實際使用 Splunk 並願意分享他們的經驗，或者強調其優於 Nagios 的優勢，那就太好了？

提前非常感謝。

我們每天將其用於 7+GB 的數據，但我們為此付費。很多。我認為我們得到了一點學術折扣，但大多數情況下我們設法證明花錢是合理的，因為它讓審計員滿意讓某人/某事查看我們的日誌。

我們也使用 nagios。我們已經為 nagios 配置了一些保存的搜尋，這些搜尋呼叫生成 nagios 警報或創建RT票證的腳本。因此，例如，在 5 分鐘的時間視窗內（所有伺服器）超過 X 次登錄失敗將生成警報。那是 nagios 自己無法真正做到的事情。

以前我們使用SEC來生成這些類型的警報，但效果不佳，仍然有人不時嘗試對 20GB 文件使用 grep。

我不確定我們是否已經生成了任何 nagios 警報；我們已經將大部分（如果不是全部）轉換為生成 RT 票證。nagios 警報模型不適用於基於日誌分析的東西，它更適用於狀態可能好壞的事物，而不是可能需要調查的離散事件。

編輯：

是的，它確實讓我們的生活更輕鬆。這比嘗試通過日誌搜尋要好得多。我們有 Windows、Linux 和 Solaris 盒子向它發送日誌。

它會像某些影片所暗示的那樣神奇地找到您想要的東西嗎？不，它有一些限制，你可能需要做一些配置才能讓它很好地處理特定類型的日誌。過於“有趣”的搜尋可能需要通讀文件，然後在 splunk 伺服器執行時等待幾分鐘。但是，說真的，它搖擺不定。據我所見，它的聯盟中確實沒有其他東西。

引用自：https://serverfault.com/questions/23477