Splunk 的替代品?
Splunk給我留下了深刻的印象,尤其是第 4 版。漂亮的圖表、警報(僅限企業版)以及快速、準確的搜尋。這是一個很棒的產品。
但是,對於我們公司的全面生產使用來說,成本太高了。我們真正需要的是能夠在一個中心位置索引不同的日誌,並對其進行合理的搜尋。基於已保存搜尋的警報也非常好。我們並沒有真正超越。
事實上,我們最大的用途是部署新的應用程序。一切都通過 log4net 記錄到 Windows 上的事件日誌或 Linux 上的文本文件中。Splunk 可以很容易地快速搜尋這些內容,以確保應用程序的所有部分都正常工作——與尋找單個日誌記錄源相比,這為我們節省了大量時間。
這個市場有哪些替代品?我有一種沉淪的感覺,Splunk 的定價如此之高,因為他們擁有迄今為止最好的產品,而且他們知道這一點。我們希望伺服器在 Windows 上執行。
我對拆分模型持開放態度,將一個產品用於一般日誌(通過 syslog/Snare 收集),將一個專用產品用於我們的自定義應用程序(如Log4Net Dashboard)。
使用簡單的 syslog 伺服器(如 Kiwi)發送到 SQL Server(可能啟用全文)是否可行?
我希望成本應該遠低於 5 位數,美元。(是的,我知道,我們很便宜。我們是一家資金很少的初創公司,BizSpark 負責我們所有的 MS 許可。)
編輯:我應該補充一下,我們有大約 10 台物理伺服器、20 台虛擬機以及幾個防火牆和交換機。90% 是 Windows。
注意:這都是關於 Linux 和免費軟體的,因為這是我最常使用的,但你應該可以在 Windows 上使用 syslog 客戶端將日誌發送到 Linux syslog 伺服器。
記錄到 SQL 伺服器: 只有大約 30 台機器,你應該可以使用幾乎任何集中式系統日誌和 SQL 後端。我在 Linux 上使用syslog-ng和 MySQL 來做這件事。
用於圖形的漂亮前端是主要問題——似乎有很多被黑的前端會從日誌中抓取項目並顯示有多少命中、警報等,但我沒有發現任何集成和乾淨的東西。誠然,這是您要尋找的主要內容…(如果我發現任何好的東西,那麼我將更新此部分!)
警報:我在 Linux 伺服器上使用SEC來查找日誌中發生的不良事件並通過各種方法向我發出警報。它非常靈活,不像 Splunk 那樣容易點擊。這裡有一個很好的教程,它指導了許多可能的功能。
我還將Nagios用於各種統計數據的圖表和一些我從日誌中沒有得到的警報(例如服務關閉時等)。這可以輕鬆定制以添加您喜歡的任何圖形。通過讓代理使用check_logfiles外掛來計算日誌中的命中次數(它保存了每個檢查週期達到的位置),我添加了項目圖表,例如對 http 伺服器的命中次數。
總體而言,這取決於您設置它需要花費多少時間,因為您可以使用許多選項,但它們不像 Splunk 那樣集成,並且可能需要更多的努力才能完成您想要的操作。Nagios 圖表易於設置,但不會在您添加圖表之前為您提供歷史數據,而使用 Splunk(可能還有其他前端)您可以回顧過去的日誌並繪製您剛剛製作的圖表想到從他們來看。
另請注意,SQL 數據庫格式和索引將對查詢速度產生巨大影響,因此您對全文索引的想法將極大地提高搜尋速度。我不確定 MySQL 或 PostgreSQL 是否會做類似的事情。
編輯:MySQL 將進行全文索引,但僅在MySQL 5.6 之前 的 MyISAM 表上。在 5.6 中添加了對 InnoDB 的支持。
編輯:Postgresql 當然可以進行全文搜尋:http ://www.postgresql.org/docs/9.0/static/textsearch.html