10 Alternatywy Splunk do analizy logów

Szybki! Nazwij usługę analizy dzienników. Jeśli pierwszym słowem, które wyszło z twoich ust, było „Splunk”, nie jesteś sam.

Ale sukces Splunk zachęcił wielu innych do ulepszenia swojej gry polegającej na analizie logów, zarówno otwartej, jak i komercyjnej. Oto mnóstwo pretendentów, którzy mają wiele do zaoferowania zarówno administratorom systemów, jak i deweloperom, od usług po stosy open source.

Elasticsearch (stos ELK)

Akronim „LAMP” jest używany w odniesieniu do stosu internetowego, na który składa się Linux, serwer WWW Apache HTTP, baza danych MySQL i PHP (lub Perl lub Python). Podobnie „ELK” jest używane do opisania stosu analizy dziennika zbudowanego z Elasticsearch dla funkcji wyszukiwania, Logstash do zbierania danych i Kibana do wizualizacji danych. Wszystkie są open source.

Elastic, firma odpowiedzialna za komercyjny rozwój stosu, dostarcza wszystkie elementy jako usługi w chmurze lub jako bezpłatne oferty open source z subskrypcjami wsparcia. Elasticsearch, Logstash i Kibana oferują najlepszą alternatywę dla Splunk, gdy są używane razem, biorąc pod uwagę, że siła Splunk polega na wyszukiwaniu i raportowaniu, a także gromadzeniu danych.

Inne firmy również oferują komercyjnie obsługiwane wersje stosu ELK lub ELK jako usługę:

Logsene

Produktem Logsene firmy Sematext jest ELK jako usługa: hostowany stos ELK, dostępny w chmurze lub za zaporą ogniową, który działa z każdą usługą wysyłania dziennika. Platforma integruje się z ponad 40 usługami i aplikacjami, aby generować kontekstowe informacje o tym, co dzieje się w Twojej organizacji. Plany zaczynają się od 50 USD miesięcznie, z bezpłatnymi 30-dniowymi wersjami próbnymi dla płatnych planów. Dostępna jest bezpłatna podstawowa warstwa, chociaż jest ograniczona do 500 MB dziennie logów i siedem dni przechowywania. 

Logsene oferuje również Logagent, projekt open source do pozyskiwania logów z różnych źródeł i przesyłania ich do chmury Sematext lub do instancji Elasticsearch. Jedną z wygodniejszych, gotowych do użycia funkcji oprogramowania Logagent jest maskowanie danych, które umożliwia ukrycie poufnych danych przed wysłaniem. Logagent jest również dostępny w 30-dniowej wersji próbnej.

Logz.io

Logz.io oferuje ELK jako usługę z funkcjami takimi jak „live tail” (możliwość przeglądania logów w czasie rzeczywistym z konsoli) oraz automatyczną archiwizację w obiektowej pamięci masowej Amazon S3. Analiza szeregów czasowych za pośrednictwem Kibana i Grafana jest teraz również dostępna we wczesnej formie. 

Płatne plany zaczynające się od 289 USD miesięcznie za 5 GB miejsca i do jednego roku przechowywania. Bezpłatna warstwa społeczności zapewnia do 3 GB dziennej pojemności i trzydniowego przechowywania.

Qbox

Qbox zapewnia hostowane edycje każdego elementu stosu ELK w różnych infrastrukturach chmurowych (AWS, IBM Cloud, Rackspace). Każdą implementację można skalować między węzłami, z regulowaną ilością pamięci RAM, wdrażaniem w różnych regionach geograficznych i opcjonalnym przełączaniem awaryjnym między węzłami. Qbox oferuje również hostowaną wersję pełnego stosu ELK.

Graylog

Graylog używa Elasticsearch jako centralnego komponentu, ale opiera się również na magazynie danych MongoDB i systemie przesyłania strumieniowego Apache Kafka. Dane o zdarzeniach i dane w sieci można pozyskiwać z niemal dowolnego źródła, w tym z łączników innych firm, takich jak Fluentd. Graylog ma również własny interfejs użytkownika oparty na przeglądarce, ale jego interfejsy API teoretycznie pozwolą na każdy interfejs użytkownika.

Podstawowy produkt to bezpłatne oprogramowanie typu open source. Wersja Enterprise, która dodaje funkcje, takie jak archiwizacja, jest bezpłatna dla użytkowników przetwarzających mniej niż 5 GB dziennie. Dostępne są wersje dla większości środowisk zwirtualizowanych, w tym Docker, a także skrypty dla głównych narzędzi do orkiestracji i automatyzacji (Chef, Puppet, Ansible, Vagrant).

InsightOps

InsightOps jest częścią hostowanego w chmurze pakietu Rapid7 z linii produktów do analizy, wglądu i automatyzacji. Dane mogą być pozyskiwane z wielu różnych formatów i platform - systemów kontenerowych, takich jak Docker i CoreOS; zdarzenia z Logstash, PagerDuty i New Relic; oraz alerty z systemów powiadamiania i przesyłania wiadomości, takich jak Slack. Większość innych elementów można zintegrować za pośrednictwem elementów webhook i interfejsu API. Dzienniki „syntetyczne” można generować z punktów końcowych, które normalnie ich nie generują. Na podstawie zebranych danych można generować zarówno bieżące dashboardy, jak i statyczne raporty.

Ceny zaczynają się od 48 USD miesięcznie za 30 GB danych i 30 dni przechowywania danych, z bezpłatnym 30-dniowym okresem próbnym.

Loggly

Loggly to usługa w chmurze, która zbiera logi z szerokiego zakresu zdefiniowanych usług, ale wszystko, co ma syslogagenta kompatybilnego (w zasadzie wszystko, co używa RFC 5424) działa jako źródło pozyskiwania. Przetworzone dane są udostępniane do szybkiego wyszukiwania i analizy za pośrednictwem RESTful API.

Wyniki można sprawdzić za pomocą internetowego pulpitu nawigacyjnego i skonfigurować tak, aby wyzwalały alerty w Slacku na podstawie określonych warunków. Użytkownicy mogą zobaczyć wyniki na żywo z wybranymi dziennikami. Możliwe jest również automatyczne wyodrębnianie szczegółów z zarejestrowanych danych, takich jak identyfikatory sesji, w celu uzyskania dalszych informacji.

Płatne plany zaczynają się od 79 USD miesięcznie i obejmują 14-dniowy bezpłatny okres próbny. Warstwa bezpłatna ogranicza pozyskiwanie do 200 MB dziennie i przechowywanie danych przez siedem dni. 

Papierowy szlak

Papertrail ma wiele funkcji znanych z innych konkurentów, w tym podgląd na żywo zebranych dzienników, wygodne funkcje wyszukiwania i kontekstowe łącza w historii dziennika, a wszystko to dostarczane jako usługa w chmurze o bardzo szczegółowej strukturze cenowej.

Płatne plany zaczynają się od 6 USD miesięcznie z 1 GB miesięcznej przestrzeni dyskowej i rocznym okresem przechowywania, a później plany można w dużym stopniu dostosować do 1500 GB miesięcznie. Poziom wprowadzający umożliwia bezpłatne gromadzenie do 50 MB dzienników miesięcznie (plus dodatkowe 16 GB w pierwszym miesiącu), z możliwością przeszukiwania 48 godzin i archiwizowania dzienników przez siedem dni.

Analizator logów SolarWinds

SolarWinds oferuje szeroką gamę produktów do zarządzania IT w zakresie bezpieczeństwa, baz danych, zarządzania infrastrukturą i - jak się domyślacie - analizy dzienników zdarzeń. SolarWinds Log Analyzer pobiera dane z wielu powszechnych systemów generowania zdarzeń (dzienniki systemowe w syslogformacie, a także zdarzenia Windows i VMware), zapewnia interfejs wyszukiwania i filtrowania, oferuje podgląd zdarzeń w czasie rzeczywistym, może generować raporty i przekazuje lub eksportuje dzienniki do innych miejsc docelowych, takich jak systemy SIEM, bazy danych lub płaskie pliki tekstowe. Ceny za Analizator logów zaczynają się od 1495 USD, z dostępną 30-dniową bezpłatną wersją próbną.

Logika sumo

Sumo Logic - jeden z 10 start-upów Big Data Network World do obejrzenia w 2014 roku - to natywna w chmurze usługa analizy dzienników, która wykorzystuje uczenie maszynowe i analizy predykcyjne do wykrywania anomalii i wartości odstających w danych i pomagania użytkownikom w przewidywaniu potencjalnie destrukcyjnych wydarzeń.

Sumo Logic jest wstępnie skonfigurowany z wyszukiwaniem i pulpitami nawigacyjnymi dla wielu popularnych produktów dla przedsiębiorstw, od serwerów internetowych (Apache, IIS, Nginx) po infrastrukturę (Cisco, Kubernetes, Docker) po systemy operacyjne. Obsługuje również natywne sposoby gromadzenia metryk bezpośrednio z hostów - na przykład w AWS za pośrednictwem Amazon CloudWatch. Użytkownicy mogą również korzystać z własnych usług gromadzenia danych, korzystając z narzędzi takich jak Graphite.

Płatne poziomy zaczynają się od 270 USD miesięcznie za 3 GB przetwarzania dziennie i do 30 GB przestrzeni dyskowej. Warstwa bezpłatna umożliwia przyjmowanie do 500 MB dziennie przy 4 GB retencji danych.