Programování

10 alternativ Splunk pro analýzu protokolů

Rychlý! Pojmenujte službu analýzy protokolů. Pokud první slovo, které vyskočilo z vašich úst, bylo „Splunk“, nejste zdaleka sami.

Úspěch společnosti Splunk však podnítil mnoho dalších, aby zahájili svou hru s analýzou logů, ať už open source nebo komerční. Zde je spousta uchazečů, kteří mají co nabídnout sysadminům i podobným lidem, od služeb až po otevřené zdroje.

Elasticsearch (ELK stack)

Zkratka „LAMP“ se používá k označení webového zásobníku, který zahrnuje Linux, webový server Apache HTTP, databázi MySQL a PHP (nebo Perl nebo Python). Podobně se „ELK“ používá k popisu zásobníku analýzy protokolu vytvořeného z Elasticsearch pro funkce vyhledávání, Logstash pro sběr dat a Kibana pro vizualizaci dat. Všechny jsou open source.

Společnost Elastic, která stojí za komerčním vývojem zásobníku, poskytuje všechny součásti buď jako cloudové služby, nebo jako bezplatné nabídky open source s předplatným podpory. Elasticsearch, Logstash a Kibana nabízejí nejlepší alternativu k Splunk, pokud jsou používány společně, vzhledem k tomu, že síla společnosti Splunk spočívá ve vyhledávání a hlášení i ve sběru dat.

Jiné společnosti také nabízejí komerčně podporovaná vydání zásobníku ELK nebo ELK jako službu:

Logsene

Produkt Logatee společnosti Sematext je ELK jako služba: hostovaný balíček ELK, dostupný buď v cloudu nebo za bránou firewall, který pracuje s jakoukoli službou zasílání logů. Platforma se integruje s více než 40 službami a aplikacemi a generuje kontextové informace o tom, co se děje ve vaší organizaci. Plány začínají na 50 $ měsíčně, u placených plánů zdarma 30denní zkušební verze. K dispozici je základní úroveň zdarma, i když je omezena na 500 MB za den protokolů a sedm dní uchování.

Logsene také nabízí Logagent, projekt open source pro přijímání protokolů z různých zdrojů a jejich předávání do cloudu Sematext nebo do instance Elasticsearch. Jednou z praktických funkcí Logagentu, která je k dispozici ihned po vybalení, je maskování dat, takže lze citlivá data před odesláním skrýt. Logagent je také k dispozici ve 30denní zkušební verzi.

Logz.io

Logz.io nabízí ELK jako službu s funkcemi, jako je „live tail“ (schopnost vidět protokoly v reálném čase z konzoly) a automatická archivace do úložiště objektů Amazon S3. Analýza časových řad prostřednictvím Kibany a Grafany je nyní také k dispozici v rané podobě.

Placené plány začínající na 289 $ měsíčně za 5 GB úložiště a až jeden rok uchování. Úroveň komunity zdarma poskytuje až 3 GB denní kapacity a třídenní retenci.

Qbox

Qbox poskytuje hostovaná vydání všech částí zásobníku ELK v různých cloudových infrastrukturách (AWS, IBM Cloud, Rackspace). Každou implementaci lze škálovat napříč uzly s nastavitelným množstvím paměti RAM, nasazením v různých geografických oblastech a volitelným převzetím služeb při selhání mezi uzly. Qbox také nabízí hostovanou verzi celého zásobníku ELK.

Graylog

Graylog používá Elasticsearch jako centrální komponentu, ale také se spoléhá na datové úložiště MongoDB a streamovací systém Apache Kafka. Data událostí a data on-the-wire lze přijímat z většiny libovolných zdrojů, včetně konektorů třetích stran, jako je Fluentd. Graylog také přichází s vlastním front-end uživatelským rozhraním založeným na prohlížeči, ale jeho API teoreticky umožní jakýkoli front-end.

Základním produktem je bezplatný otevřený zdroj. Podniková edice, která přidává funkce, jako je archivace, je zdarma pro uživatele, kteří zpracovávají méně než 5 GB denně. Vydání jsou k dispozici pro téměř každé virtualizované prostředí, včetně Dockeru, a skripty pro hlavní nástroje pro orchestraci a automatizaci (Chef, Puppet, Ansible, Vagrant).

InsightOps

InsightOps je součástí cloudové sady produktů analytiky, viditelnosti a automatizace Rapid7 hostované v cloudu. Data lze přijímat z široké škály formátů a platforem - kontejnerových systémů, jako jsou Docker a CoreOS; události od Logstash, PagerDuty a New Relic; a upozornění z oznamovacích a zprávových systémů, jako je Slack. Většinu čehokoli jiného lze integrovat prostřednictvím webhooků a API. „Syntetické“ protokoly lze generovat z koncových bodů, které je obvykle neprodukují. Ze shromážděných dat lze generovat živé řídicí panely i statické sestavy.

Cena začíná na 48 $ za měsíc za 30 GB dat a 30 dní uchování dat, s 30denní zkušební dobou zdarma.

Logicky

Loggly je cloudová služba, která shromažďuje protokoly ze široké škály definovaných služeb, ale vše, co má syslog-kompatibilní agent (cokoli, co v zásadě používá RFC 5424) funguje jako zdroj příjmu. Přijatá data jsou k dispozici pro rychlé vyhledávání a analýzu pomocí rozhraní RESTful API.

Výsledky lze prozkoumat prostřednictvím webového řídicího panelu a nakonfigurovat tak, aby spouštělo výstrahy v programu Slack na základě určitých podmínek. Uživatelé mohou vidět živé výsledky ocasu s vybranými protokoly. Je také možné automaticky extrahovat podrobnosti ze zaznamenaných dat, například ID relace, pro další informace.

Placené plány začínají na 79 $ měsíčně a mají 14denní bezplatné zkušební období. Bezplatná vrstva omezuje příjem na 200 MB za den a sedm dní uchovávání dat.

Papírová stopa

Papertrail má mnoho funkcí známých od jiných konkurentů, včetně živých náhledů shromážděných protokolů, pohodlných funkcí vyhledávání a kontextových odkazů v historii protokolu, které jsou poskytovány jako cloudová služba s vysoce granulovanou cenovou strukturou.

Placené plány začínají na 6 USD za měsíc s 1 GB za měsíc úložiště a jednoročním obdobím uchovávání, přičemž plány jsou poté vysoce přizpůsobitelné, až do 1 500 GB za měsíc. Úvodní vrstva vám umožní sbírat až 50 MB protokolů za měsíc zdarma (plus bonus 16 GB v prvním měsíci), přičemž lze prohledávat 48 hodin protokolů a archivovat sedm dní protokolů.

Analyzátor protokolu SolarWinds

SolarWinds nabízí širokou škálu produktů pro správu IT pro zabezpečení, databáze, správu infrastruktury a - uhodli jste - analýzu událostí. SolarWinds Log Analyzer přijímá data z mnoha běžných systémů generujících události (systémové protokoly v systému syslog formát, stejně jako události Windows a VMware), poskytuje rozhraní front-end prohledávání a filtrování, nabízí pohledy na události v reálném čase, může generovat zprávy a přeposílat nebo exportovat protokoly do jiných cílů, jako jsou systémy SIEM, databáze nebo ploché -textové soubory. Ceny za Log Analyzer začínají na 1 495 USD a je k dispozici 30denní zkušební verze zdarma.

Sumo Logic

Sumo Logic - jeden z 10 velkých světových datových startupů Network Watch, které lze sledovat v roce 2014 - je cloudová služba pro logovou analýzu, která pomocí strojového učení a prediktivní analýzy odhaluje anomálie a odlehlé hodnoty v datech a pomáhá uživatelům předvídat potenciálně rušivé události.

Sumo Logic je předkonfigurovaný s vyhledáváními a dashboardy pro mnoho běžných podnikových produktů, od webových serverů (Apache, IIS, Nginx) přes infrastrukturu (Cisco, Kubernetes, Docker) až po operační systémy. Podporuje také nativní způsoby shromažďování metrik přímo z hostitelů - například na AWS prostřednictvím Amazon CloudWatch. Uživatelé mohou také zavádět své vlastní služby sběru dat pomocí nástrojů, jako je Graphite.

Placené úrovně začínají na 270 USD měsíčně za 3 GB příjmu denně a až 30 GB úložiště. Bezplatná vrstva vám umožní pohltit až 500 MB za den s uchováváním dat 4 GB.