SPLUNK VS ELK?



    Если вы связаны с эксплуатацией IT, то наверняка сталкивались либо со Splunk, либо с ELK, либо с обоими продуктами. Это два основных игрока на рынке продуктов по лог-менеджменту и операционной аналитике данных.

    В нашем блоге мы пишем о Splunk и нам часто задают вопрос, чем же Splunk лучше ELK? За что мы должны платить деньги за лицензию, если есть хороший open source конкурент? На эту тему отрывками в комментариях сказано уже очень много, но мы решили все объединить и посвятить этому вопросу отдельную статью.

    Для тех, кто незнаком со Splunk или ELK, немного расскажем о них.

    Splunk


    Это проприентарный инструмент для работы с машинными данными, который предлагает пользователям, администраторам и разработчикам возможность мгновенно получать и анализировать все данные, созданные приложениями, серверами, сетевыми устройствами в ИТ-инфраструктуре и любый другие машинные данные.

    Splunk Enterprise получает машинные данные и превращает их в мощную оперативную аналитику, предоставляя информацию в реальном времени с помощью диаграмм, алертов, отчетов и т. д.

    ELK


    Стек ELK состоит из компонентов с открытым исходным кодом: elasticsearch (инструмента текстового поиска), Logstash и Beats (инструменты отправки данных) и Kibana (инструмент визуализации данных). Вместе они обеспечивают полностью рабочий инструмент для анализа данных в реальном времени. Несмотря на то, что все они созданы для совместной работы, каждый из них представляет собой отдельный проект.

    ELK предоставляет аналогичные функции для оперативного анализа, такие как создание отчетов, оповещения, поиск в журналах и т. д.

    Open source – значит дешевле?


    Зачастую на подсознательном уровне мы отождествляем open source с бесплатными решениями, но надо помнить, что цена проекта складывается далеко не только из стоимости лицензии, но и из множества других затрат, например:

    • Стоимость оборудования;
    • ЗП сотрудников;
    • Затраты на внедрение и интеграцию;
    • Расходы на дополнительные фичи;
    • Расходы на поддержку;
    • Плата за риски;
    • И тд.

    Зачастую может оказаться так, что затраты на лицензию проприентарных решений, частично или полностью окупаются за счет сокращения других статей затрат по сравнению с open source.

    Лицензия


    В Splunk цена за лицензию рассчитывается из количества гигабайтов данных, загруженных в день, независимо от количества узлов или пользователей. Покупая любую по размеру лицензию, вы покупаете сразу весь встроенный функционал, возможность использовать бесплатно большую (более 1000) базу приложений и инструкций-документаций. Также есть бесплатная лицензия, которая позволяет загружать до 500 мб в день, но имеет несколько функциональных ограничений.

    ELK использует модель, приближенную к модели ценообразования Freemium, в которой бесплатно содержатся только базовые функции, а за остальное придется платить. Если вы хотите настроить безопасность, оповещения, отчеты, использовать алгоритмы машинного обучения и тд, то вам необходимо докупать годовую подписку на пакет X-pack, стоимость на которую будет рассчитываться исходя из количество узлов в системе.

    Требуемое оборудование


    Есть ли разница в требуемом оборудовании? Да, есть и существенная. Одной из особенностей хранения данных в ELK, является то, что вместе с сырыми данным хранятся эти же данные разбитые на поля и всевозможные добавленные поля и геометки. Все это может увеличить требуемое место для хранения на дисках до 10 раз по сравнению со Splunk, который хранит только сжатые сырые данные, а вся остальная информация прикрепляется только в процессе поиска. Да и вообще, если взять и поставить параллельно Splunk и ELK, то для нормальной работы ELK потребует гораздо больше ресурсов чем Splunk.

    Скорость внедрения


    Помимо очевидных затрат на оборудование существуют неявные затраты или, так называемая, упущенная выгода за время внедрения системы. Если сравнивать процесс развертывания и требуемые ресурсы: временные, человеческие или технологические, то Splunk заметно выигрывает у ELK.

    Устанавливая один экземпляр Splunk, вы получаете сразу же готовое решение, которое включает в себя и возможность загрузки данных и индексирования, и поисковый интерфейс, более 1000 созданных и поддерживаемых компанией приложений, которые могут автоматизировать загрузку или анализ определенных типов данных. После установки одного экземпляра сразу можно начинать решать поставленные задачи. При необходимости, для повышения производительности и отказоустойчивости, архитектура может быть расширена до кластера, в котором каждому экземпляру Splunk будет присвоена своя роль: Indexer, Search Head, Cluster Master, о том, как развернуть кластер, мы писали здесь.

    В случае ELK, инструмент состоит из отдельных модулей, таких как ElasticSearch – отвечающий за хранение данных, Kibana — это пользовательский интерфейс для поиска, просмотра данных и визуализации, а Logstash — это инструменты для отправки данных к ElasticSearch. Для получения первых результатов необходимо настроить все компоненты, а также для различных дополнительных возможностей необходимо либо самому писать надстройки, либо прикручивать уже написанные кем-то надстройки, за поддержку и качество которых зачастую никто не отвечает и не несет ответственности.

    С точки зрения загрузки данных, ElasticSearch требует определения правил разбиения, идентификации всех полей, разделения данных до их загрузки. То есть вы должны знать о данных все, до того, как их загрузите в систему. Иначе придется менять структуру данных с помощью довольно сложных запросов JSON. Это существенно тормозит процесс. В Splunk можно загружать абсолютно любые данные, изначально он определит у них только 3 параметра: host, source и sourcetype, а далее можно выделять поля и изменять их в любой момент времени, когда вы поймете что именно вам нужно от этих данных.

    Язык


    Splunk использует свой язык запросов SPL, который сочетает возможности языка SQL с конвейерным синтаксисом Unix. SPL позволяет осуществлять поиск по данным и фильтрацию, трансформировать данные и добавлять новые поля, работать с временными рядами, строить визуализации и применять алгоритмы машинного обучения.

    В работе ELK используются разные языки: Lucene для текстового поиска, JSON для разделения данных на объекты и Timelion для работы с временными рядами.

    Сторонники ELK, отмечают, что удобнее использовать уже известные языки, чем учить новый, созданный конкретно для одного продукта. Хотя, честно говоря, SPL – язык довольно несложный и имеет множество схожего синтаксиса с другими языками, а также имеет подробную документацию, которая позволит быстро разобраться с ним.

    Интересный факт: в последних версиях ELK появился экспериментальный язык Kuery, созданный специально для Kibana. Разработчики отмечают, что в будущих релизах язык может быть полностью изменен или удален, но в целом тенденция к специализации языка под конкретный продукт заметна.

    Управление доступом


    С точки зрения безопасности, управление доступом является важным элементом системы. Возможность разделения пользователей по ролям, с разным уровнем доступа доступно из коробочного решения Splunk, в ELK подобный инструмент доступен при подписке на пакет X-Pack.

    Риски


    ELK = elasticsearch + logstash + kibana. Это три разных предприятия («проекта»), которые имеют симбиотические отношения. Опора на три разных предприятия с открытым исходным кодом для одного решения несет значительный операционный и юридический риск для компании.

    Splunk, Inc. является крупной публично зарегистрированной компанией с большими оборотами и стабильным положением на рынке ценных бумаг. Поэтому Splunk можно назвать жизнеспособным и стабильным корпоративным партнером, представляющим небольшой риск для компании.

    Заключение


    В целом, и Splunk, и ELK являются мощными инструментами по операционной аналитике, имеющие свои плюсы и минусы. Принимая решение о том какой инструмент выбрать, необходимо внимательно оценить все требования к проекту, поставленные задачи и на основе них рассчитать затраты на внедрение и последующую поддержку, а также оценить свою готовность и способность к внедрению каждого инструмента.

    Очень ждем ваши комментарии на данную тему!

    TS Solution

    128,66

    Системный интегратор

    Поделиться публикацией
    Комментарии 44
      +9
      необходимо докупать годовую подписку на пакет X-pack
      Уже мимо.

      вместе с сырыми данным хранятся эти же данные разбитые на поля и всевозможные добавленные поля и геометки
      Сырые данные хранить не обязательно

      Реклама splunk так себе получилась :)
        –2
        необходимо докупать годовую подписку на пакет X-pack
        Уже мимо.

        No, Elastic X-Pack is not going to be open source – according to Elastic themselves
        www.flax.co.uk/blog/2018/03/02/no-elastic-x-pack-not-going-open-source-according-elastic
          0
          2.1 Limited License. Subject to the terms and conditions of Section 2.2 of
          this Agreement, Elastic hereby grants to You, AT NO CHARGE and for so long as
          you are not in breach of any provision of this Agreement, a limited,
          non-exclusive, non-transferable, fully paid up royalty free right and license
          to the Commercial Software in Source Code format, without the right to grant
          or authorize sublicenses, to prepare Derivative Works of the Commercial
          Software, provided You (i) do not hack the licensing mechanism, or otherwise
          circumvent the intended limitations on the use of Elastic Software to enable
          features other than Basic Features and Functions or those features You are
          entitled to as part of a Subscription, and (ii) use the resulting object code
          only for reasonable testing purposes.

          лицензия дает право на использование X-Pack  в продашкне бесплатно. Что еще нужно бизнесу?
            –1
            Да, возможность использовать X-Pack бесплатно есть, но там также ограничен функционал.
            По этой ссылке можно посмотреть типы подписок и их функциональное наполнение: www.elastic.co/subscriptions
            Информация по пробному 30-доступу и управлению лицензиями на X-Pack
            www.elastic.co/guide/en/x-pack/current/license-management.html
            www.elastic.co/guide/en/x-pack/current/license-expiration.html

              0
              Например, Security. Ради него хотели было купить X-Pack, но они хотят что-то типа $5000 за сервер.
                0
                Там в ссылке приведенной в первом комментарии есть ответ
                > If the code of X-Pack is open, does that mean it's all free?
                > No. Many features in X-Pack are free, such as monitoring, tile maps, Grok Debugger, and Search Profiler. Some features in X-Pack are paid, and require a license that comes with a Gold or Platinum subscription.

                В GitHub там теперь две лицензии зашиты в исходном коде.
                0
                AlexKulakov вот вы постоянно говорите про дешевле, выгоднее. А сами на прямой вопрос вам о прайсинге по объему данных не удосужились ответить.
                  0
                  Ну во-первых там прямого вопроса не было. Во-вторых цены на Splunk в открытом доступе на сайте:
                  www.splunk.com/en_us/products/pricing/calculator.html
                    0
                    Мдас, возвращаясь к моему микропроекту запущенному на шару на опенсорс ЕЛКе с объемом порядка 1.5-2Гб в день ваш Спланк втсанет в дополнительные 3К-4К в год. С очень недоказанными преимуществами. При объеме данных в 100Гб-1Тб в день люди очень нервничают наверное замечая ваш Спланк ценник :-)
                      0
                      Люди — возможно, компании, которым нужен результат и которые готовы считать TCO и принимать решения взвешено — покупают.
                      www.splunk.com/en_us/customers.html (89 из Fortune 100)
                        0
                        Вы не по адресу лапшу вешаете. Если взять эти 100 компаний я вам зуб даю что 100 из них окажется используют Эластик! И не потому что он круче, а потому что такие компании используют до хренища всего. И когда вы пытаетесь это выставить как доказательство качества, извините — это не оно. Я работал более 10 лет в 1С и мы тоже сильно нервничали когда конкуренты тыкали потенциальным клиентам своими списками, которые просто были кусками списков наших клиентов. Так что я давно понял что подобные списки не говорят практически ни о чем. Большие киты используют много всего и порой не считают реальных денег, а считают размер откатов. Как вам такая постановка вопроса? :-) Извините, ничего личного. Просто это хабр, а не мэйл.ру. Тут как бы гики. Хотим технически обоснованных мнений. Да, не мы ваша целевая аудитория. Но, раз уж вы в наш монастырь, то видимо наше мнение для вас не безразлично. Потрудитесь поработать и подготовить аргументацию получше.
              +3
              Извините, но сравнения так и не увидел, ни в плане функционала ни в плане производительности ни в плане цены.
              По вашему описанию это два идентичных продукта только один платный а второй больше ест ресурсов)
                +2

                Работал и с тем и с другим на очень больших выборках.


                ELK непросто ест больше ресурсов: он их сжирает в разы(!) больше.
                На моих задача получалось соотношение: 1 инстанс splunk равен 3-4ем EL по производительности.
                Субъективно splunk сильно проще и гибче настраивается.
                Фатальным недостатком этого закрытого решения — космическая цена. Особенно для крупных компаний с большим объемом данных

                  –3
                  Splunk и ELK решают одну задачу, в тексте статьи мы выделили ключевые отличия, на которые, на наш взгляд, стоит обратить внимания при выборе продукта.
                  И также хотим в формате открытого диалога увидеть дополнительно что-то еще от участников Хабр-сообщества, которые имеют опыт работы со Splunk и ELK.
                    +5
                    Надо было подойти с более технической стороны что ль… Сравнили бы скорость обработки при одинаковых объемах данных. В общем хочется видеть цифры, а не сплошной текст без фактов.
                  +1
                  Собираем на ELK 200Гб в сутки. Чтобы кластер не логал, приходится хранить данные для поиска только за последние 3-4 месяца. Остальное в бэкапы сливаем, иначе ноды умирают. Мы бы и рады переехать на Splunk, но бюджеты не позволяют.
                  Опять же, субъективно, но единственное преимущество ELK — бесплатность. Были бы деньги, ушли бы на Splunk.
                    0

                    Читал где-то у елк в доках — не храните в мониторинговых тулах данные больше чем за неделю работы. Если к старым данным потребуется доступ, организуйте правильный архив.

                      0
                      По всей видимости, сильно зависит от количества данных в час/сутки. У меня в старом ELK данные хранятся за полгода. Общий размер базы под 500 гиг. Полёт нормальный.
                        +1
                        У оригинального комментатора – 200ГБ/сутки, а это уже 18ТБ за 3 месяца.
                          0
                          Я так понимаю, всё-таки 200 гиг размазываются по нодам. Но общий объём, конечно, впечатляет.
                      0
                      А можно конфиг в студию? сколько нод в Эластике? Кибане? Логстэше? в каком хранилище и на каких дисках лежат данные? Просто интересно. Мне кажется задача должна решаться нормальным горизонтальным масштабированием.
                      +5
                      Честно говоря непонятно кому статья адресована, если бизнеслюдям, то возникает куча вопросов. Если разрабам то тоже куча вопросов:
                      что цена проекта складывается далеко не только из стоимости лицензии, но и из множества других затрат, например:

                      • Стоимость оборудования;
                      • ЗП сотрудников;
                      • Затраты на внедрение и интеграцию;
                      • Расходы на дополнительные фичи;
                      • Расходы на поддержку;
                      • Плата за риски;
                      • И тд.

                      Зачастую может оказаться так, что затраты на лицензию проприентарных решений, частично или полностью окупаются за счет сокращения других статей затрат по сравнению с open source.

                      а по мне неубедительно получилось. Пропаганда и не более, а хотелось бы объективной статистики:
                      1. загрузили данные x(тут ссылка ни гитхаб) — в эластике весят Y, в вашем продукте Z. Конфигурация эластика была XX, конфигурация вашего продукта ZZ.
                      2. Количество умеющих продукт ELTK, количество умеющих splunk, средняя зарплата первой группы и второй
                      3. посчитать все затраты на дополнительные фичи не просто словами, а цифирками
                      4. стоимость поддержки первого и второго вообще непонятно как измерить. Но раз уж это в статье есть хотелось бы понимать разницу где сплюньк выигрывает. Для меня неочевидно
                      5. О каких рисках может идти речь если это все опен сорсно стоит и развивается. Можно конечно сказать что eltk 1.0 вышел 4 года назад когда splunk в 2006. Но как разрабу мне уже приходилось к примеру сталкиваться 2 раза по работе с еластиком и ни разу с вашим продуктом

                      Все это может увеличить требуемое место для хранения на дисках до 10 раз по сравнению со Splunk, который хранит только сжатые сырые данные, а вся остальная информация прикрепляется только в процессе поиска. Да и вообще, если взять и поставить параллельно Splunk и ELK, то для нормальной работы ELK потребует гораздо больше ресурсов чем Splunk.

                      Хотелось бы в цифрах и реальных примерах увидеть ибо пока это пропаганда наркотиков(появляется зависимость от продукта за который нужно платить).
                      Помимо очевидных затрат на оборудование существуют неявные затраты или, так называемая, упущенная выгода за время внедрения системы. Если сравнивать процесс развертывания и требуемые ресурсы: временные, человеческие или технологические, то Splunk заметно выигрывает у ELK.

                      тут нужно поверить наслово?
                      С точки зрения загрузки данных, ElasticSearch требует определения правил разбиения, идентификации всех полей, разделения данных до их загрузки. То есть вы должны знать о данных все, до того, как их загрузите в систему. Иначе придется менять структуру данных с помощью довольно сложных запросов JSON. Это существенно тормозит процесс. В Splunk можно загружать абсолютно любые данные, изначально он определит у них только 3 параметра: host, source и sourcetype, а далее можно выделять поля и изменять их в любой момент времени, когда вы поймете что именно вам нужно от этих данных.

                      Я конечно возможно чего-то не понял, но автомап никто не отменял, да возможны косяки но все же:
                      By default, Elasticsearch provides automatic index and mapping when data is added under an index that has not been created before. In other words, data can be added into Elasticsearch without the index and the mappings being defined a priori. This is quite convenient since Elasticsearch automatically adapts to the data being fed to it — moreover, if certain entries have extra fields, Elasticsearch schema-less nature allows them to be indexed without any issues.


                      В работе ELK используются разные языки: Lucene для текстового поиска, JSON для разделения данных на объекты и Timelion для работы с временными рядами.

                      JSON (англ. JavaScript Object Notation, обычно произносится как /ˈdʒeɪsən/ JAY-sən [2]) — текстовый формат обмена данными, основанный на JavaScript. Как и многие другие текстовые форматы, JSON легко читается людьми. Я бы не стал называть его языком. Lucene пром стандарт что в ELTK, что в SOLR. Раз уж приводить сравнения, я бы взял пару примеров на Lucene vs ваш язык.
                      Опора на три разных предприятия с открытым исходным кодом для одного решения несет значительный операционный и юридический риск для компании.

                      с 2006 года слышу про риски из-за опен сорса. За это время стабильный Apple objective-c заменил на swift заставив народ переучиваться. Sun был с потрохами куплен и большинство продуктов перешло в опенсорс и никаких особых траблов не вышло.

                      В Splunk цена за лицензию рассчитывается из количества гигабайтов данных, загруженных в день, независимо от количества узлов или пользователей. Покупая любую по размеру лицензию, вы покупаете сразу весь встроенный функционал, возможность использовать бесплатно большую (более 1000) базу приложений и инструкций-документаций. Также есть бесплатная лицензия, которая позволяет загружать до 500 мб в день, но имеет несколько функциональных ограничений.


                      1. а динамика цен за гиг как-то менялась с 2006 года? откуда знать что лицензия сегодня стоила x, а завтра станет 5*x.
                      2. Опять таки на каждый операционный гиг нужно закладывать соответствующую маржу в договоре с клиентом, дабы расходы на лицензию не были больше чем доходы. Предположим что один день я загрузил 1 гиг, второй день 10 гигов, а потом весь месяц 0, почем лицензия для меня?
                        0
                        Я конечно возможно чего-то не понял, но автомап никто не отменял, да возможны косяки но все же

                        Если у вас только одно поле LogMessage, то по нему постоиться Full-Tech-Search индекс, а если это Apache, то нужно выделить все нужные Fields, чтобы иметь возможность искать по ним. В случае Splunk — все в основном это просто _raw log message, а дальше при помощи SPL и в Search Time можно выделять поля для построения отчетов.
                        Таких примером много. Если у вас CSV — то его просто можно загрузить в Splunk, и просто начать по нему строить отчеты. ELK потребует разбивку по полям, если хочется использовать этот документ в отчетах.
                        В общем, Splunk по настоящему Schema-less.


                        JSON

                        Думаю, что имелось в ввиду JSON-based Query Language (https://www.elastic.co/guide/en/elasticsearch/reference/current/_introducing_the_query_language.html)


                        а динамика цен за гиг как-то менялась с 2006 года? откуда знать что лицензия сегодня стоила x, а завтра станет 5*x.

                        Думаю, что в лицензии Splunk есть какая-то строка о том, что цена в следующем году не может вырости больше чем на 5%. Многие компании требовали бы этого.


                        Опять таки на каждый операционный гиг нужно закладывать соответствующую маржу в договоре с клиентом, дабы расходы на лицензию не были больше чем доходы. Предположим что один день я загрузил 1 гиг, второй день 10 гигов, а потом весь месяц 0, почем лицензия для меня?

                        На сколько я помню Splunk позволяет это. Если только в один день у вас 10 гигов, а во все остальные 1 гиг — это не будет нарушением лицензии, и Splunk будет продолжать работать.

                          0
                          Думаю, что в лицензии Splunk есть какая-то строка о том, что цена в следующем году не может вырости больше чем на 5%. Многие компании требовали бы этого.

                          На следующий год может просто измениться лицензионная политика и перекроиться тарифы :) И если в 2006 году платили за условных 10-гиг 10$, то через год один дополнительный гиг может стоить + 10$. Заменят байты в строки, ядра, память, обновление до новой версии или ещё что-то придумают. Проходили такой путь уже со многими поставщиками.
                            0
                            И тогда компания закроется через пару лет, так как потеряет в доверии и репутации. Оно им надо?
                              0
                              VMWare и Cisco, например, живее всех живых, хотя каждые несколько лет что-то меняют в лицензионной политике и почти всегда не в пользу клиентов.
                                0
                                Всегда все что-то меняют (мир вообще изменчив), но вы то писали про значительные изменения в лицензировании, которых еще не наблюдалось.
                                  0
                                  habr в помощь. У Cisco широкий спектр продуктов и лицензионная политика изменяется более точечно. И каждый раз при закупке приходится изучать: что же они придумали с лицензиями на данный продукт+софт за последнее время?
                              0
                              Есть вариант купить Perpetual License и не обновлять контракт, что позволит пользоваться одной и той же версией Splunk хоть пожизненно, если купленных GB хватит.
                          +2
                          Интереснее было бы прочитать то же самое, но на примере реальных данных и конкретного кейса. Например, загрузили 200Гб данных в Splunk и ELK и собрались решать такую-то задачу, в Splunk она решается так, а в ELK так, столько-то времени было потрачено там и там. Ну и в этом же духе. А факты без подтверждения выглядят бледновато.
                            0
                            Для меня лично, Вы сравниваете 2 совершенно разные системы и упускаете одно важное преимущество ELK.
                            ELK — это standalone система.
                            Наш клиент, к примеру, строго отказывается от всех облачных решений. Все сервера должны располагаться в закрытой корпоративной сети. Именно поэтому мы до сих пор не перешли на New Relic.
                              0
                              Интересно, что же вы используете вместо New Relic?
                                0
                                Я не нашел ему адекватной замены. Используем zabbix + ELK + sentry.
                              0
                              Splunk также standalone, и прекрасно живет за фаерволом.
                            0
                            Тяжкая тема для сравнения. Нормально сравнить можно только сравнивая side by side команды поисковые и визуализации/аналитики которые к ним идут, но это получается очень геморно.

                            Я работая в MSS SOC просто счастлив, что все уже готово и мне не нужно упарываться с тюнингом платформы как для команд предобработки данных так и для добавления всяких секурити данных новых. У нас и на Спланк то целая команда, а так еще и толпу девелоперов содержать. Опять же найти человека с Security skill set + Splunk реально, найти developer который будет расширять ELK + security ваааще не реально (я имею в виду безопасность корповую).

                            Решите у себя строить SIEM и скорее всего у вас будет такая туча проблем бизнес-ИБ характера что еще и платформой заниматься не захочется. Разве что может одно исключение, если вдруг у вас работает единорог который это все уже несколько лет делал в другом месте, в смысле пилил ELK для ИБ.
                              +3
                              Что-то я не понял вообще чем Splunk лучше. У меня небольшой, но реальный и свежий пример использования ELK. Все запустилось с первого, ну ладно, со второго раза. В любом случае за неделю я выкатил в продакшн кастомное решение с кастомным парсером кастомного приложения, при том что логи представляют собой мултилайн венегрет. Все просто и все опенсорс. Работает уже неделю на двух микроинстансах на гугл клауд. Один инстанс под Logstash второй под Elasitc+Kibana+Kibana. Думаю перекинуть логстэш на вторую машину, поскольку нагрузка микроскопическая. Поэтому тезис про ресурсоемкость не понимаю. Вполне возможно что вы в чем-то правы, но без примеров и кейсов, какое-то шапкозакидательство. Типа: «Мы знаем что оно лучше! Ура товарищи!» Не убедительно и не интересно. От слова СОВСЕМ.
                                0
                                из моего опыта работы с обоими системами:

                                И то и другие на больших объемах данных (сотни ГБ в день) требует настройки человеком, понимающим, что там внутри, но с ELK это происходит уже на меньших объемах, в силу особенностей elasticsearch, иначе все начинает тормозить. С другой стороны, обычно легче найти человека с опытом elasticsearch, чтобы он сделал все как надо.

                                Спланк из коробки очень хорошо умеет извлекать из логов ключи-значения, интерфейс, поисковая строка и возможности в целом более интеллектуальны, отточены за многие годы существования системы. Стоит ли оно запрашиваемых денег — совсем отдельный вопрос.

                                На мой взгляд, Кибана до сих пор страшно сырая. Elasticsearch отличный продукт, но требует понимания.
                                  0
                                  Согласен. Почитав другие комменты, народ сходится в том что на больших объемах Спланк эффективнее. Но как вы и сказали, есть два вопроса, которые остаются открытыми? стоимость специалистов и стоимость лицензии. Поскольку индустрия и в частности железо становятся все быстрее и дешевле, думаю во многих случаях дешевле нарастить кластер чем купить лицензию.
                                    0
                                    Важный момент насчет цены. Когда покупаешь лицензию на год, то получаешь Support на этот срок. Support для ElasticSearch тоже не дешевый.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое