Fra produktionsovervågning til sikkerhedsproblemer, er det afgørende for virksomheder at analysere og gennemgå deres logdata. Dette gælder især for store virksomheder og virksomheder, hvor den enorme mængde af data gør loganalyse til den mest effektive måde at spore nøgleindikatorer på. Især CTO’er beskæftiger sig med udfordringerne ved denne massive mængde data, der strømmer gennem deres organisation, herunder hvordan de kan udnytte dem, indsamle indsigt fra dem og sikre dem.
Når det drejer sig om de bedste platforme til loganalyse og SIEM-løsninger (Security Information and Event Management), dukker der 3 trivielle alternativer op: Splunk, Sumo Logic og ELK.
Det er ikke nogen nem opgave at vælge, hvilken af disse store kanoner man skal vælge. Vi vil se på disse 3 bedste platforme, herunder deres fordele og ulemper, og se hvem der kommer ud som vinder.
Splunk
Splunk Enterprise er en platform til at samle og analysere data. Med Splunk kan du automatisere indsamling, indeksering, overvågning og advarselsfunktioner, når det gælder dine data, for at kontrollere og udnytte de oplysninger, der strømmer ind i din virksomhed.
Skemalagte søgninger giver dig mulighed for at oprette dashboards og visualiseringer i realtid (der tilbyder både XML- og drag-and-drop-tilpasningsmuligheder for visualisering), mens planlagte rapporter giver dig mulighed for at køre og dele rapporter med forskellige intervaller. Med hensyn til support og fællesskab er Splunk vært for Splunkbase, som har tusindvis af apps og add-ons.
Platformen har funktionaliteten til at blive brugt af eksperter såvel som af mindre teknisk interesserede brugere. Den skalerer godt – med mulighed for at skalere op til ubegrænsede mængder data pr. dag – og har indbygget failover- og disaster recovery-funktioner.
Platformen har funktionaliteten til at blive brugt af eksperter, såvel som mindre teknisk interesserede brugere. Den skalerer godt – med mulighed for at skalere op til ubegrænsede mængder data pr. dag – og har indbygget failover- og disaster recovery-funktioner.
Ud over den selvhostede Splunk Enterprise er der også mulighed for Splunk Cloud, hvor Splunk udrulles og administreres som en service.
Pro’er: Splunk er god til det, den gør, hvilket primært er hurtig konsolidering af logs for at kunne søge i data og finde indsigter.
Con’s: Splunk er god til det, den gør, hvilket primært er hurtig konsolidering af logs for at kunne søge i data og finde indsigter: Det største problem med Splunk er kompleksiteten i at sætte det op og vedligeholde det. Det har en relativt stejl indlæringskurve og kan tage tid at få ordentligt i gang og administrere løbende. Det andet store problem, som man skal være opmærksom på, er prisfastsættelsen, som kan være ret høj.
Prisfastsættelse: Splunk Enterprise starter ved 173 dollars pr. indtaget GB, er angivet pr. måned og faktureres årligt og inkluderer standardsupport (ikke premium, selvom dette er tilgængeligt).
Sumo Logic
Sumo Logic er en cloud-nativ, maskindataanalysetjeneste til loghåndtering og tidsseriemetrikker. Med tjenesten kan du opbygge, køre og sikre dine AWS-, Azure-, Google Cloud Platform- eller hybridapplikationer. Den største forskel i forhold til Splunk er, at Sumo Logic er bygget til skyen; selv om Splunk nu tilbyder sin Splunk cloud-option, er Sumo Logic’s arkitektur bygget op omkring cloud-brug. Det betyder, at integrationer er mere smidige, især når det gælder platforme som AWS; skalerbarhed er indbygget, der er ikke behov for konstante opdateringer, og det er hurtigere og nemmere at komme i gang end med Splunk.
Pro’er: Sumo Logic er nem at bruge og har alle fordelene ved at være en SaaS-løsning, såsom skalerbarhed, hurtig opstart og drift osv. Nogle mennesker kan lide brugergrænsefladen, mens andre ser foretrækker udseendet og følelsen af de andre tilbud.
Con’s: Sumo Logic mangler nogle af de udvidede funktioner fra Splunk, især når det drejer sig om Splunk Enterprise-tilbuddet. Der har været klager over Sumo Logic’s hastigheder ved søgning i ældre data, deres kundeservice og deres prisfastsættelse, som er til den dyre side. Sumo Logic mangler også noget af den fællesskabsstøtte, som Splunk og især ELK har.
Prissætning: Sumo Logic Enterprise-platformen starter ved 150 dollars pr. GB pr. måned, og der kræves en årlig forpligtelse. Hvis du ønsker den fulde supportpakke, er det en valgfri tilføjelse til denne pakke.
ELK
ELK er verdens mest populære loghåndteringsplatform. ELK-stakken består af 3 forskellige løsninger, som alle er open source: Elasticsearch, Logstash og Kibana.
Elasticsearch er en søgemaskine baseret på Lucene, der giver en distribueret, multitenant-kapabel fuldtekst-søgemaskine, med en HTTP-webgrænseflade og skemafrie JSON-dokumenter. Logstash bruges til indsamling, parsing og lagring af logfiler, og Kibana er et værktøj til datavisualisering. Som en del af stakken indgår også Beats, en platform for letvægtsafskibere, der sender data fra edge-maskiner til Logstash og Elasticsearch. Med tilføjelsen af Beats blev ELK Stack kendt som Elastic Stack.
Med ELK kan du pålideligt og sikkert indhente data fra enhver kilde, i ethvert format, og søge, analysere og visualisere dem i realtid. Da det er open source, er det blevet grundigt testet af det store ELK-fællesskab, og det har tillid til virksomheder som Sprint, Microsoft, eBay og Facebook.
Pro’s: ELK konsoliderer 3 modne komponenter til 1 kraftfuld løsning. Da det er et open source-værktøj, er der mange fordele, der følger med vedtagelsen af ELK. Generelt har der været en enorm bevægelse i retning af open source, især for virksomheder. Open source-løsninger kommer med en masse kontrol, hvor du ikke er bundet til en rigid måde at gøre tingene på, og open source-værktøjer, især et som ELK/Elastic Stack, bringer et levende fællesskab af bidragydere, testere og medbrugere med sig, som kan bidrage til din succes.
Con’s: Hvis du selv sætter det op, kan det være en udfordring at sætte det op og vedligeholde. De fleste brugere vælger en løsning, der håndterer opsætningen for dem.
Prisfastsættelse: Gratis (hvis du bruger open source-versionen uden X-pack)
…Og vinderen er
Givet vores betydelige kombinerede erfaring med alle disse platforme, måtte beslutningen om, hvilken platform vi skulle vælge, afvejes nøje. Funktionaliteten og funktionsmængden i Splunk, enkelheden og de cloud-native fordele ved Sumo Logic og open source-designet og den robuste karakter af ELK.
En vinder måtte vælges, og baseret på al vores forskning og erfaring måtte det blive ELK – takket være det livlige fællesskab, det faktum, at det konstant forbedres og udvikler sig hurtigere end konkurrenterne, har bedre understøttelse af JSON-formatet, er nemmere at bruge og komme i gang med, og selvfølgelig kommer det til en meget lavere pris.
Dette er på trods af dens ulemper – standardversionerne af den mangler alarmering, anomalidetektion og integrationer i udviklingslivscyklussen – samlet set står den dog over de andre som et allroundværktøj.
Det er afgørende at have styr på sine logs, uanset om det er til produktionsovervågning og fejlfinding, sikkerhedsformål, ressourceforbrug eller en anden af de mange vigtige forretningsfunktioner, som loganalyse understøtter.
Med Coralogix’ platform kan du vide, hvornår dine flows bryder, automatisk klynge dine logdata tilbage i deres oprindelige mønstre, så du kan se flere timers data på få sekunder, se alle din virksomheds nøgleindikatorer på et øjeblik og meget mere. Er du interesseret i at få mere at vide om, hvordan din organisation kan drage fordel af det? Tjek Coralogix for at se, hvordan vi kan hjælpe.