Pull to refresh
8
0
Александр @AlexKulakov

Senior Splunk Engineer

Send message
— безопасность
— мониторинг инфраструктуру с последующим предиктивным анализом
— комплаенс
— банковский антифрод
— мониторинг клиентского опыта
круто =) напишите как вам спланк, было бы интересно из первых уст послушать)
Какие права нужны для того что форвардер работал с минимальными привилегиями.


— Права на чтение логов, которые он должен мониторить. Если вы хотите запускать скрипты, то права на их запуск соответсвенно (это если мы говорим про Linux). В случае с Windows Splunk рекомендует устанавливать от Local System.

Наверное при внедрении уже разработали лучшие шаги, методологию которая увеличивает вероятность успешности проекта, можете поделиться своим опытом.


— Перед началом проекта четко поставьте себе цель, что вы хотите сделать. Она должна быть выполнимой и небольшой, расширять можно потом. Определите критерии успеха (загрузка логов, построение 5 дашбордов, запуск 4 алертов и тд). Далее по шагам: установка, загрузка логов, проверка на правильность загрузки, написание запросов для визуализации или установка готовых приложений.

Можете написать сколько понадобиться времени если будет внедрять один человек?


— Все зависит от целей которые вы перед собой поставите, а также от объемов логов и их разновидностей. Можно и за неделю одному внедрить, а можно целой командой за год не управиться.
Всегда все что-то меняют (мир вообще изменчив), но вы то писали про значительные изменения в лицензировании, которых еще не наблюдалось.
И тогда компания закроется через пару лет, так как потеряет в доверии и репутации. Оно им надо?
Люди — возможно, компании, которым нужен результат и которые готовы считать TCO и принимать решения взвешено — покупают.
www.splunk.com/en_us/customers.html (89 из Fortune 100)
Ну во-первых там прямого вопроса не было. Во-вторых цены на Splunk в открытом доступе на сайте:
www.splunk.com/en_us/products/pricing/calculator.html
Splunk также standalone, и прекрасно живет за фаерволом.
необходимо докупать годовую подписку на пакет X-pack
Уже мимо.

No, Elastic X-Pack is not going to be open source – according to Elastic themselves
www.flax.co.uk/blog/2018/03/02/no-elastic-x-pack-not-going-open-source-according-elastic
Если мы говорим про ELK, то я рекомендую посмотреть на ответ сравнение между ELK и Splunk answers.splunk.com/answers/616416/what-is-the-difference-between-splunk-and-elk-stac.html?childToView=617933#answer-617933


наверно одно из наиболее успешных сравнений
Помимо X-Pack, в случае с Enterprise будет необходим саппорт, он тоже платный.
большая цена

Это если сравнивать цену с ценой open source (которая ноль). Но если использовать более менее адекватную модель затрат, включающую затраты на внедрение, железо, зп сотрудников (об этом вообще никто никогда не вспоминает, хотя это ежемесячные расходы, и достаточно большие, если учесть что это квалифицированные сотрудники), затраты на поддержку, затраты на дополнительные платные фичи ( у open source они всегда есть иначе где модель монетизации бизнеса), список можно продолжать.

исход сравнения явно не в его пользу...

Судя по тому как растет его популярность, пока явно наоборот:
www.fool.com/investing/2017/04/05/splunk-in-2-charts.aspx

большая задержка от поступления данных в систему до времени их доступности к анализу

Здесь хотелось бы примеров, потому как не слышал о такой проблеме ранее.
Да, можно и WMI, но Splunk рекомендует использовать агента, ниже ссылка на причины:
image
docs.splunk.com/Documentation/Splunk/7.0.3/Data/ConsiderationsfordecidinghowtomonitorWindowsdata
Ну скажем, это далеко не полный функционал, но начинать мы решили с простого)) в следующей статье мы покажем как заставить этого агента запускать скрипты и собирать результаты их отработки
Здесь неплохое объяснение плюсов/минусов Open Source и Enterprise решений.
Да, можно и так. Но «иногда» конечным пользователям очень хочется эксель…
Ключевое различие ELK и Splunk в том, что ELK — это open source, а Splunk — это проприетарный продукт. Отсюда растёт ряд следствий и различий и их достаточно много.

Что касается непосредственно этой задачи, то можно сказать следующее: так как в большинстве случаев можно обойтись бесплатной версией Splunk — вопрос о стоимости лицензии не стоит. Остается стоимость внедрения и стоимость обслуживания (наличие специалистов, кто будет работать с системой).

Стоимость внедрения Splunk, даже если мы говорим не про деньги а просто про время, намного ниже. Обучиться базовому функционалу неподготовленному пользователю тоже намного быстрее. Тот функционал, который Вы описываете в ELK, так или иначе доступен, а главное все это находится в одном продукте.

Splunk это не коробочное решение с уже зашитой аналитикой, это скорее инструмент для анализа данных. Он как раз и позволяет реализовать все хотелки аналитиков, посредством своего языка запросов SPL. Посмотрите наши предыдущие статьи, они как раз про SPL, и все станет несколько прозрачнее.

И если в данной статье мы говорим про CDR и так или иначе структурированные данные, то сравнение с sql конечно возможно. Но если мы перейдем в пространство неструктурированных данных, то для sql все становиться намного сложнее.
  1. Да, правильно. Но помимо БД он нас самом деле может забирать данные практически из любого источника.
    Об этом мы писали здесь.
  2. Да, это тоже можно сделать.
1

Information

Rating
Does not participate
Location
Россия
Works in
Registered
Activity