Мы используем его для 7+GB данных в день, но мы платим за это. Много. Я думаю, что мы получаем что-то вроде академической скидки, но главным образом нам удалось выровнять по ширине тратить деньги, потому что это удовлетворило аудиторов о наличии кого-то/чего-то просматривающего наши журналы.
Мы также используем nagios. Мы настроили nagios с некоторыми сохраненными поисками, которые называют сценарии, что или генерировать предупреждения nagios или создают тикеты RT. Так, например, более чем X отказов входа в систему в 5-минутном окне времени (через все серверы) генерируют предупреждение. Это - вид вещи nagios, не может действительно сделать самостоятельно.
Ранее мы использовали SEC для генерации тех видов предупреждений, но он не работал также, и кто-то все еще должен был попытаться использовать grep на файле на 20 ГБ время от времени.
Я не уверен, что у нас есть любые предупреждения nagios, сгенерированные больше; мы переключились больше всего, если не все, этого к генерации билетов RT. Модель предупреждения nagios действительно не работает хорошо на материал на основе анализа журнала, это лучше в вещах с состоянием, которое может быть хорошим или плохим, не дискретное событие, которому, возможно, понадобится исследование.
Править:
Да, это действительно делает жизнь намного легче для нас. Это существенно лучше, чем попытка к grep через журналы. У нас есть Windows, поля Linux и Solaris, отправляющие его журналы.
Это волшебно находит точно, что Вы хотите как некоторые видео, подразумевают? Нет, это имеет некоторые ограничения, и Вам, вероятно, придется реализовать немного конфигурации для получения его обрабатывающий определенные типы журналов хорошо. И чрезмерно "интересные" поиски могут потребовать прочтения документов и затем ожидания несколько минут, в то время как splunk сервер крутится. Но, серьезно, это качается. Из того, что я видел, в его лиге нет действительно ничего иного.
a. Проверьте, что учетная запись пользователя сервис SQL Server работает как учетная запись домена.
Из MSDN:
Если сервис должен взаимодействовать с сетевыми службами, ресурсами домена доступа как доли файла или если он использует соединения связанного сервера с другими компьютерами, выполняющими SQL Server, Вы могли бы использовать минимально привилегированную учетную запись домена. Много операций от сервера к серверу могут быть выполнены только с учетной записью пользователя домена. Эта учетная запись должна быть предварительно создана администрированием домена в Вашей среде.
b. Удостоверьтесь, что сервер DNS, используемый рядовым сервером, знает о домене, т.е. может разрешить записи SRV для AD сервисов. Посмотрите это сообщение в блоге для получения дополнительной информации.
c. Выполните шаги разрешения в статье MS KB.