Free Splunkについての考え

私は自分の会社でSplunkを実装することを検討していますが、金銭的な投資には不満です。私は、Splunkの無料版が十分に良いようだと気付きました。

あなたの会社で無料版を使用している場合、誰か教えてもらえますか？あなたは無料版が適切であると思いますか、それとも最終的な購入のための踏み台ですか？

無料のSplunk とOSSECを複数のお客様で使用しており、完全に使用できます。もちろん、非フリーバージョンと比較していくつかの制限があります。

• 1日あたり500MBの制限（1か月に2つまたは3つのピークが許可されます）：それほど多くのデータを生成しなくても、これは影響しません
• 認証：無料のSplunkにはありません。この制限を克服するために、apacheとhttp_authを使用します。それは完璧な解決策ではありませんが、十分に良いものです。唯一のユーザーになる場合は、localhostで実行できます。
• 異なるユーザー：無料のSplunkには1人のユーザーしかいません。そのため、パーソナライズされたダッシュボードとカスタマイズを取得できません。繰り返しになりますが、すべて同じものを探していて、共有を気にかけない場合、または自分だけが共有されている場合は、問題はないはずです。

全体的に、無料のSplunk（特にバージョン4）はそれ自体が製品であり、非フリーバージョンの追加機能が必要になる場合を除き、心配なく本番環境で使用できます。

全体的に、無料のSplunk（特にバージョン4）はそれ自体が製品であり、非フリーバージョンの追加機能が必要になる場合を除き、心配なく本番環境で使用できます。

インデックスを作成するデータ量が少ない場合は、上記が当てはまります。

判明したのは、データが制限の範囲内にある場合、トラブル状態にあるということです。

私たちは考えました：ヘック、500MB /日、それはたくさんです。それを超えても、大したことはありませんが、500 mbしか検索できません。

違う！

splunkの回答サイトによると、制限に達した場合、Splunk Search機能は一度に数日間無効になります。

これは効果的にあなたのsplunkシステムを殺します（検索できない場合、システム全体は砂の袋と同じくらい便利です）。

「1暦日にライセンスされた1日のボリュームを超えた場合、違反警告が表示されます。メッセージは14日間続きます。エンタープライズライセンスで5回以上、ローリング30で無料ライセンスで3回違反がある場合過去30日間の違反が5件（エンタープライズ）または3件（無料）未満の場合、またはボリューム制限の大きい新しいライセンスを適用した場合、検索機能が戻ります。

注：ライセンス違反期間中、Splunkはデータのインデックス作成を停止しません。Splunkは、ライセンスを超えている間のみアクセスをブロックします。

したがって、有料ライセンスを持っている場合でも、制限に達した場合は、システムを効果的に無効にできます。

無料ライセンスでデフォルトの管理者パスワードを変更することもできません。これは、ネットワーク上の誰でもデフォルトのadmin：changeme資格情報でインデクサー/フォワーダーにデータを送信できることを意味します。

それについて考えてください。

私たちは、ロンドンの大手メディア企業の12人のチームです。会社全体で100 GBを超えるエンタープライズライセンスを持っていますが、私たちのチームはまだ無料版で別のサーバーを実行しています。これにより、アクセス権や変更管理のために本番システムで時間がかかるような「1回限りの」データバッチの構成やインデックス作成をより自由に行うことができます。

splunk向けの一種の開発/テスト環境ですが、実稼働環境への移行を望まないため、多くの検索とダッシュボードを常に使用しています。はい、無料版は便利です。