Od monitorování výroby až po bezpečnostní otázky je pro podniky velmi důležité analyzovat a kontrolovat data logů. To platí zejména pro velké a podnikové společnosti, kde je analýza logů kvůli obrovskému množství dat nejefektivnějším způsobem sledování klíčových ukazatelů. Zejména techničtí ředitelé řeší problémy spojené s tímto obrovským množstvím dat, které proudí jejich organizací, včetně toho, jak je využít, získat z nich poznatky a zabezpečit je.
Pokud jde o nejlepší platformy pro analýzu logů a řešení pro správu bezpečnostních informací a událostí (SIEM), objevují se 3 triviální alternativy: Splunk, Sumo Logic a ELK.
Vybrat si, kterou z těchto velkých zbraní zvolit, není snadný úkol. Podíváme se na tyto 3 hlavní platformy, včetně jejich výhod a nevýhod, a zjistíme, kdo z nich vyjde jako vítěz.
Splunk
Splunk Enterprise je platforma pro agregaci a analýzu dat. Se Splunkem můžete automatizovat funkce shromažďování, indexování, monitorování a upozorňování, pokud jde o vaše data, a mít tak pod kontrolou a využívat informace proudící do vaší firmy.
Naplánované vyhledávání umožňuje vytvářet řídicí panely a vizualizace v reálném čase (nabízí možnosti přizpůsobení vizualizace ve stylu XML i přetahování), zatímco naplánované sestavy umožňují spouštět a sdílet sestavy v různých intervalech. Co se týče podpory a komunity, Splunk hostuje Splunkbase, která obsahuje tisíce aplikací a doplňků.
Platforma má funkce, které mohou používat jak odborníci, tak i méně technicky zaměření uživatelé. Dobře se škáluje – s možností škálovat až neomezené množství dat za den – a má zabudované funkce převzetí služeb při selhání a obnovení po havárii.
Platforma má funkce, které mohou používat jak odborníci, tak i méně technicky zaměření uživatelé. Dobře se škáluje – se schopností škálovat až neomezené množství dat za den – a má vestavěné možnosti převzetí služeb při selhání a obnovení po havárii.
Kromě samostatně hostované platformy Splunk Enterprise existuje také možnost Splunk Cloud, kde je Splunk nasazen a spravován jako služba.
Pro:
Pro: Splunk je dobrý v tom, co dělá, což je především rychlá konsolidace protokolů, aby bylo možné vyhledávat data a nacházet poznatky.
Pro: Splunk je dobrý v tom, co dělá: Největším problémem Splunku je složitost jeho nastavení a údržby. Má poměrně strmou křivku učení a jeho správné zprovoznění a průběžná správa může trvat delší dobu. Dalším významným problémem, který je třeba si uvědomit, je cena, která může být poměrně vysoká.
Cena:
Sumo Logic
Sumo Logic je cloudová služba pro analýzu strojových dat pro správu protokolů a měření časových řad. Pomocí této služby můžete vytvářet, provozovat a zabezpečovat své aplikace na platformách AWS, Azure, Google Cloud Platform nebo hybridní aplikace. Největší rozdíl ve srovnání se službou Splunk spočívá v tom, že služba Sumo Logic je vytvořena pro cloud; i když společnost Splunk nyní nabízí svou cloudovou variantu Splunk, architektura služby Sumo Logic je postavena na využití cloudu. To znamená, že integrace jsou plynulejší, zejména pokud jde o platformy, jako je AWS; škálovatelnost je vestavěná, není třeba neustálých aktualizací a zahájení práce je rychlejší a jednodušší než u Splunku.
Pro: Sumo Logic se snadno používá a má všechny výhody řešení SaaS, jako je škálovatelnost, rychlé zprovoznění atd. Některým lidem se líbí uživatelské rozhraní, zatímco jiní vidí raději vzhled jiných nabídek.
Proti: Sumo Logic postrádá některé rozšířené funkce Splunku, zejména pokud jde o nabídku Splunk Enterprise. Objevily se stížnosti na rychlost společnosti Sumo Logic při prohledávání starších dat, na její zákaznické služby a na to, že její ceny jsou na drahé straně. Sumo Logic také postrádá část komunitní podpory Splunku a zejména ELK.
Cena: Cena platformy Sumo Logic Enterprise začíná na 150 dolarech za GB měsíčně, přičemž je vyžadován roční závazek. Pokud chcete kompletní balíček podpory, jedná se o volitelný doplněk k tomuto balíčku.
ELK
ELK je celosvětově nejoblíbenější platforma pro správu protokolů. ELK Stack se skládá ze 3 různých řešení, z nichž všechna jsou open-source: Elasticsearch, Logstash a Kibana.
Elasticsearch je vyhledávací stroj založený na Lucene, který poskytuje distribuovaný fulltextový vyhledávač s podporou více uživatelů, s webovým rozhraním HTTP a dokumenty JSON bez schémat. Logstash slouží ke shromažďování, analýze a ukládání protokolů a Kibana je nástroj pro vizualizaci dat. Součástí stacku je také Beats, platforma pro lehké odesílače, která odesílá data z okrajových strojů do Logstash a Elasticsearch. Po přidání Beats se ELK Stack stal známým jako Elastic Stack.
S ELK můžete spolehlivě a bezpečně přijímat data z libovolného zdroje v libovolném formátu a prohledávat, analyzovat a vizualizovat je v reálném čase. Jelikož se jedná o open source, byl důkladně testován rozsáhlou komunitou ELK a důvěřují mu společnosti jako Sprint, Microsoft, eBay a Facebook.
Pro: ELK konsoliduje 3 vyspělé komponenty do 1 výkonného řešení. Vzhledem k tomu, že se jedná o nástroj s otevřeným zdrojovým kódem, je s přijetím ELK spojena řada výhod. Obecně došlo k obrovskému posunu směrem k open source, zejména u podniků. Řešení s otevřeným zdrojovým kódem přinášejí velkou míru kontroly, kdy nejste svázáni rigidním způsobem práce, a nástroje s otevřeným zdrojovým kódem, zejména takové, jako je ELK/Elastic Stack, s sebou přinášejí živou komunitu přispěvatelů, testerů a dalších uživatelů, kteří mohou přispět k vašemu úspěchu.
Proti: Pokud si je zřizujete sami, může být jejich nastavení a údržba náročná. Většina uživatelů se rozhodne pro řešení, které nastavení zvládne za ně.
Cena: Zdarma (pokud používáte open source verzi bez X-packu)
…A vítězem se stává
Vzhledem k našim značným kombinovaným zkušenostem se všemi těmito platformami bylo třeba pečlivě zvážit rozhodnutí, kterou z nich vybrat. Funkce a sada funkcí Splunku, jednoduchost a výhody cloud-native Sumo Logic a open source design a robustní povaha ELK.
Bylo třeba vybrat vítěze a na základě všech našich průzkumů a zkušeností jím musela být ELK – díky živé komunitě, skutečnosti, že se neustále zlepšuje a vyvíjí rychleji než její konkurenti, má lepší podporu formátu JSON, snadněji se používá a začíná se s ní pracovat a samozřejmě je za mnohem nižší cenu.
To platí i přes jeho nevýhody – ve standardních verzích mu chybí upozorňování, detekce anomálií a integrace do životního cyklu vývoje – celkově však stojí nad ostatními jako všestranný nástroj.
Mít přehled o logách je velmi důležité, ať už jde o monitorování a ladění produkce, bezpečnostní účely, využití zdrojů nebo jakoukoli jinou z mnoha klíčových obchodních funkcí, které analýza logů podporuje.
Pomocí platformy společnosti Coralogix můžete zjistit, kdy se vaše toky přeruší, automaticky shlukovat data logů zpět do původních vzorů, takže můžete zobrazit hodiny dat během několika sekund, na první pohled vidět všechny klíčové ukazatele vaší organizace a mnoho dalšího. Máte zájem dozvědět se více o tom, jaké výhody může mít vaše organizace? Podívejte se na Coralogix a zjistěte, jak vám můžeme pomoci.