Пример по СХД: мы собираем информацию о количестве свободного места и прогнозируем это поле на месяц вперед, тем самым мы можем за примерно за месяц узнать, когда закончиться место и тем самым решать проблему проактивно.
Пример по сервера: мы собираем перфоманс метрики серверов и запускаем алгоритм выявления аномалий, тем самым можем выявлять аномальное повышение загруженности систем и выявлять их причины.
Пример по сетям: у вас есть прокси-сервер, мы собираем логи с информацией о запросах проходящих через него, считаем следующие метрики: количество запросов, среднее время между запросами, и дисперсию(от времени между запросами). Строим следующий алерт: если запросов много, среднее время между ними и дисперсия маленькие (60-180 секунд) — то высылать алерт. (Если выполняются эти условия, значит есть подозрение о том, что это бот посылает запросы через прокси сервер, так среднее время и разброс между ними маленькие, а запросов много).
Ключевое различие ELK и Splunk в том, что ELK — это open source, а Splunk — это проприетарный продукт. Отсюда растёт ряд следствий и различий и их достаточно много.
Относительно Ваших вопросов:
1. Я не встречал какого-то структурированного ресурса с похожими материалами, разве что их официальный сайт. Но вкладка learn там выглядит достаточно бедно.
2. На сколько проще / сложнее? Если говорить про мое субъективное мнение, то Splunk куда легче и понятнее чем ELK, и в случае со Splunk куда быстрее можно получить результат от внедрения.
То что у Splunk есть бесплатная версия до 500 Мб — это конечно очень круто, и некоторые компании даже продуктивно используют её для своих небольших задач, не покупая лицензию и не тратя денег.
Да, такие истории есть! Но Splunk изначально все таки проприетарный, небесплатный продукт. Поэтому сравнивать его бесплатную версию, с несколько урезанным функционалом с ELK наверно не очень корректно.
Под базовым подразумевалось, что этот функционал доступен из коробки при покупке лицензии.
В первую очередь, отличие конечно в функционале, у Splunk он гораздо шире (не говоря уже о скорости работы, гибкости, универсальности и пр.). Это в общем. Также сильные стороны описаны в самой статье.
Если прибавить к ELK стоимость железа, чтобы он работал хотя бы на уровне со Splunk + расходы на внедрение и разработку, то суммы стоимости владения будут похожи.
Если — да, то было бы интересно послушать ваше мнение относительно выбора.
Не хочется ничего плохого говорить про Zabbix, но алгоритмы прогнозирования там несколько слабее…
Пример по сервера: мы собираем перфоманс метрики серверов и запускаем алгоритм выявления аномалий, тем самым можем выявлять аномальное повышение загруженности систем и выявлять их причины.
Пример по сетям: у вас есть прокси-сервер, мы собираем логи с информацией о запросах проходящих через него, считаем следующие метрики: количество запросов, среднее время между запросами, и дисперсию(от времени между запросами). Строим следующий алерт: если запросов много, среднее время между ними и дисперсия маленькие (60-180 секунд) — то высылать алерт. (Если выполняются эти условия, значит есть подозрение о том, что это бот посылает запросы через прокси сервер, так среднее время и разброс между ними маленькие, а запросов много).
Оно действительно неплохое! Правда у него есть небольшой недостаток, оно 2015 года…
Вот, кстати, тоже интересный материал с простыми советами, как защититься от DDoS-атак.
Относительно Ваших вопросов:
1. Я не встречал какого-то структурированного ресурса с похожими материалами, разве что их официальный сайт. Но вкладка learn там выглядит достаточно бедно.
2. На сколько проще / сложнее? Если говорить про мое субъективное мнение, то Splunk куда легче и понятнее чем ELK, и в случае со Splunk куда быстрее можно получить результат от внедрения.
Да, такие истории есть! Но Splunk изначально все таки проприетарный, небесплатный продукт. Поэтому сравнивать его бесплатную версию, с несколько урезанным функционалом с ELK наверно не очень корректно.
Под базовым подразумевалось, что этот функционал доступен из коробки при покупке лицензии.
А какие логи хотите собирать/анализировать? И зачем? Какая задача?
В первую очередь, отличие конечно в функционале, у Splunk он гораздо шире (не говоря уже о скорости работы, гибкости, универсальности и пр.). Это в общем. Также сильные стороны описаны в самой статье.
Вот ссылка на еще одно общее сравнение.
Для подробного сравнения стоит понимать предметную область использования.
Если прибавить к ELK стоимость железа, чтобы он работал хотя бы на уровне со Splunk + расходы на внедрение и разработку, то суммы стоимости владения будут похожи.
А на каких объемах Вы проводили сравнение?
Да, конечно планирует, скоро должен быть официальный релиз!
А какие Use Cases наиболее востребованы на рынке, исходя из Вашего опыта?