10 алтернативи на Splunk за анализ на журнали

Бързо! Назовете услуга за анализ на журнали. Ако първата дума, която изскочи от устата ви, беше „Splunk“, вие далеч не сте сами.

Но успехът на Splunk подтикна много други да подобрят играта си за анализ на лог, независимо дали с отворен код или търговска. Тук има множество претенденти, които имат какво да предложат както на системните администратори, така и на девойките, от услуги до стекове с отворен код.

Elasticsearch (стек ELK)

Съкращението „LAMP“ се използва за означаване на уеб стека, който включва Linux, уеб сървъра на Apache HTTP, базата данни MySQL и PHP (или Perl, или Python). По същия начин “ELK” се използва за описване на стек за анализ на журнали, изграден от Elasticsearch за функционалност за търсене, Logstash за събиране на данни и Kibana за визуализация на данни. Всички са с отворен код.

Elastic, компанията, която стои зад комерсиалното развитие на стека, предоставя всички парчета или като облачни услуги, или като безплатни предложения с отворен код с абонаменти за поддръжка. Elasticsearch, Logstash и Kibana предлагат най-добрата алтернатива на Splunk, когато се използват заедно, като се има предвид, че силата на Splunk е в търсенето и отчитането, както и в събирането на данни.

Други компании също предлагат комерсиално поддържани издания на стека ELK или ELK като услуга:

Logsene

Продуктът Logsene на Sematext е ELK като услуга: хостван стек ELK, достъпен или в облака, или зад защитната стена, който работи с всяка услуга за изпращане на журнали. Платформата се интегрира с над 40 услуги и приложения, за да генерира контекстна информация за случващото се във вашата организация. Плановете започват от $ 50 на месец, с безплатни 30-дневни тестове за платени планове. Предлага се безплатно основно ниво, въпреки че е ограничено до 500 MB дневно на регистрационни файлове и седем дни за съхранение. 

Logsene предлага и Logagent, проект с отворен код за поглъщане на регистрационни файлове от различни източници и връщането им в облака на Sematext или в екземпляр на Elasticsearch. Една от по-удобните функции на Logagent е маскирането на данни, така че чувствителните данни да могат да бъдат скрити, преди да бъдат изпратени. Logagent се предлага и в 30-дневен пробен период.

Logz.io

Logz.io предлага ELK като услуга с функции като „опашка на живо“ (възможността да виждате регистрационни файлове в реално време от конзола) и автоматично архивиране в Amazon S3 за съхранение на обекти. Анализът на времевите редове чрез Kibana и Grafana също вече е достъпен в ранна форма. 

Платени планове, започващи от $ 289 на месец за 5 GB място за съхранение и до една година запазване. Безплатно ниво на общността осигурява до 3 GB дневен капацитет и тридневно задържане.

Qbox

Qbox предоставя хоствани издания на всяка част от стека ELK в различни облачни инфраструктури (AWS, IBM Cloud, Rackspace). Всяка реализация може да се мащабира между възлите, с регулируемо количество RAM, разполагане в различни географски региони и незадължително прехвърляне между възли. Qbox предлага и хоствана версия на пълния стек ELK.

Graylog

Graylog използва Elasticsearch като централен компонент, но също така разчита на хранилището на данни MongoDB и поточната система Apache Kafka. Данни за събития и данни по кабела могат да бъдат погълнати от повечето източници, включително конектори на трети страни като Fluentd. Graylog също се предлага със собствен интерфейс на потребителски интерфейс, базиран на браузър, но неговите API на теория ще позволят всеки преден край.

Основният продукт е безплатен с отворен код. Корпоративното издание, което добавя функции като архивиране, е безплатно за потребители, обработващи по-малко от 5 GB на ден. Налични са издания за повечето виртуализирани среди, включително Docker, а също така са предоставени скриптове за основните инструменти за оркестрация и автоматизация (Chef, Puppet, Ansible, Vagrant).

InsightOps

InsightOps е част от хоствания в облак пакет от продукти за анализ, видимост и автоматизация на Rapid7. Данните могат да бъдат погълнати от голямо разнообразие от формати и платформи - контейнерни системи като Docker и CoreOS; събития от Logstash, PagerDuty и New Relic; и сигнали от системи за уведомяване и съобщения като Slack. Повечето други неща могат да бъдат интегрирани чрез уеб куки и API. „Синтетични“ регистрационни файлове могат да се генерират от крайни точки, които обикновено не ги генерират. От събраните данни могат да се генерират както активни табла за управление, така и статични отчети.

Ценообразуването започва от $ 48 на месец за 30GB данни и 30 дни съхранение на данни, с безплатен 30-дневен пробен период.

Лошо

Loggly е облачна услуга, която събира регистрационни файлове от широк спектър от дефинирани услуги, но всичко, което има syslog-съвместим агент (всичко, което използва RFC 5424, основно) работи като източник за поглъщане. Погълнатите данни се предоставят за бързо търсене и анализ чрез RESTful API.

Резултатите могат да бъдат изследвани чрез уеб базирано табло и конфигурирани да задействат сигнали в Slack въз основа на определени условия. Потребителите могат да виждат резултатите в реално време с избрани дневници. Също така е възможно автоматично извличане на подробности от регистрирани данни, като идентификатори на сесии, за по-нататъшна информация.

Платените планове започват от $ 79 на месец и имат 14-дневен безплатен пробен период. Безплатният слой ограничава поглъщането до 200 MB на ден и седем дни за задържане на данни. 

Папертрейл

Papertrail има много функции, познати от други конкуренти, включително изгледи на живо на събрани дневници, удобни функции за търсене и контекстни връзки в историята на дневника, всички предоставени като облачна услуга с изключително гранулирана ценова структура.

Платените планове започват от $ 6 на месец с 1GB на месец за съхранение и едногодишен период на запазване, като плановете след това могат да се персонализират до 1500GB на месец. Уводно ниво позволява да събирате до 50 MB дневници на месец безплатно (плюс бонус 16 GB през първия месец), с 48 часа търсене на дневници и архивиране на седем дни.

SolarWinds Log Analyzer

SolarWinds предлага голямо разнообразие от продукти за управление на ИТ за сигурност, бази данни, управление на инфраструктурата и - както се досещате - анализ на журнали на събития. SolarWinds Log Analyzer приема данни от много често срещани системи за генериране на събития (системни регистрационни файлове във syslogформат, както и Windows и VMware събития), осигурява преден край за търсене и филтриране, предлага изгледи на потоци в реално време на събития, може да генерира отчети и препраща или експортира дневници към други дестинации като системи SIEM, бази данни или файлове с плосък текст. Цените за Log Analyzer започват от $ 1 495, с безплатна 30-дневна пробна версия.

Sumo Logic

Sumo Logic - едно от 10-те стартиращи големи данни за Network World, които да гледате през 2014 г. - е услуга за локален анализ на вграден облак, която използва машинно обучение и прогнозен анализ, за ​​да открие аномалии и отклонения в данните и да помогне на потребителите да предвидят потенциално разрушителни събития.

Sumo Logic идва предварително конфигуриран с търсения и табла за управление на много често срещани корпоративни продукти, от уеб сървъри (Apache, IIS, Nginx) до инфраструктура (Cisco, Kubernetes, Docker) до операционни системи. Той също така поддържа местни начини за събиране на показатели директно от хостове - например на AWS чрез Amazon CloudWatch. Потребителите могат също да пуснат собствена услуга за събиране на данни, като използват инструменти като Graphite.

Платените нива започват от $ 270 на месец за 3GB поглъщане на ден и до 30GB място за съхранение. Безплатният слой ви позволява да поглъщате до 500MB на ден с 4GB задържане на данни.