Мысли о свободном Splunk
Что-то столь же основное как Усовершенствованный Сканер IP (http://www.radmin.com/products/utilities/ipscanner.php) должно смочь получить Вас эта информация.
Мы используем свободный Splunk вместе с OSSEC на нескольких клиентах, и это совершенно применимо. Конечно, это имеет некоторые ограничения по сравнению с небесплатной версией:
- 500 МБ ограничивают в день (с двумя или тремя пиками, позволенными в месяц): Если Вы не генерируете так много данных, то это не будет влиять на Вас
- Аутентификация: свободный Splunk не имеет его. Мы используем апача и http_auth для преодоления этого ограничения. Это не идеальное решение, но достаточно хороший. Если Вы будете единственным пользователем, можно выполнить его на localhost.
- Различные пользователи: свободный Splunk только имеет одного пользователя. Таким образом, Вы не получаете персонализированные панели инструментов и настройку. Снова, если Вы все ищете то же и не заботитесь о совместном использовании, или Вы - единственный, не должно быть никакой проблемы.
В целом, свободный Splunk (особенно версия 4) является продуктом по сути и может использоваться в производстве без забот, если Вам, оказывается, не нужны дополнительные функции небесплатной версии.
В целом, свободный Splunk (особенно версия 4) является продуктом по сути и может использоваться в производстве без забот, если Вам, оказывается, не нужны дополнительные функции небесплатной версии.
Если у Вас есть небольшие объемы данных для индексации, вышеупомянутое верно.
То, что мы узнали, было то, что, если Ваши данные находятся в диапазоне предела, Вы в беде.
Мы фигурировали: Heck, 500mb/day, который является много. Если мы превысим его, никакое грандиозное предприятие, то мы только сможем искать 500 МБ из него.
Неправильно!
Согласно splunk отвечает на сайт, если Вы поражаете пределы, Функция поиска Splunk отключена... в течение многих ДНЕЙ за один раз.
Это эффективно УНИЧТОЖАЕТ Вашу splunk систему (если Вы не можете искать, целая система почти так же полезна как мешок песка).
"Если Вы превысите свой лицензированный ежедневный объем в какой-либо календарный день, то Вы получите предупреждение нарушения. Сообщение сохраняется в течение 14 дней. Если у Вас будет 5 или больше нарушений на Корпоративной лицензии или 3 нарушения на Бесплатной лицензии в прокручивающийся 30-дневный период, то поиск будет отключен. Возможности поиска возвращаются, когда у Вас есть меньше чем 5 (Предприятие) или 3 (Бесплатных) нарушения за предыдущие 30 дней или когда Вы применяете новую лицензию с большим пределом объема.
Примечание: В течение периода нарушения лицензии Splunk не прекращает индексировать Ваши данные. Splunk только блокирует доступ при превышении лицензии.
Таким образом, даже если у Вас есть заплаченная лицензия при ударе пределов, можно эффективно отключить систему.
Вы даже не можете изменить пароль администратора по умолчанию с помощью бесплатной лицензии. Это означает, что любой пользователь сети может отправлять данные в индексатор / сервер пересылки с учетными данными admin: changeme по умолчанию.
Подумайте об этом.
Мы команда из 12 человек в крупной медиа-компании в Лондоне. У нас есть корпоративная лицензия более 100 ГБ для компании в целом, но наша команда все еще работает на отдельном сервере с бесплатной версией. Это позволяет нам больше свободы играть с конфигурациями и индексировать "одноразовые" партии данных, которые в противном случае заняли бы больше времени в нашей производственной системе из-за прав доступа и контроля изменений.
Это своего рода среда разработки/тестирования для splunk, но у нас также есть много поисковых систем и панелей инструментов, которые мы используем все время, что у нас нет желания переходить на производство. Так что да, бесплатная версия полезна.