Von der Produktionsüberwachung bis hin zu Sicherheitsfragen ist es für Unternehmen von entscheidender Bedeutung, ihre Protokolldaten zu analysieren und zu überprüfen. Dies gilt insbesondere für große Unternehmen und Konzerne, bei denen die schiere Menge an Daten die Protokollanalyse zum effizientesten Weg macht, um wichtige Indikatoren zu verfolgen. Vor allem CTOs müssen sich mit den Herausforderungen dieser riesigen Datenmenge auseinandersetzen, die durch ihr Unternehmen fließt, einschließlich der Frage, wie sie diese Daten nutzen, Erkenntnisse daraus gewinnen und sie sichern können.
Wenn es um die besten Plattformen für Protokollanalyse und SIEM-Lösungen (Security Information and Event Management) geht, kommen drei triviale Alternativen in Frage: Splunk, Sumo Logic und ELK.
Es ist keine leichte Aufgabe, sich für eines dieser großen Geschütze zu entscheiden. Wir werden uns diese 3 Top-Plattformen mit ihren Vor- und Nachteilen ansehen und sehen, wer als Sieger hervorgeht.
Splunk
Splunk Enterprise ist eine Plattform zur Aggregation und Analyse von Daten. Mit Splunk können Sie das Sammeln, Indizieren, Überwachen und Alarmieren Ihrer Daten automatisieren, um die Informationen, die in Ihr Unternehmen fließen, zu kontrollieren und zu nutzen.
Mit zeitgesteuerten Suchvorgängen können Sie Dashboards und Visualisierungen in Echtzeit erstellen (die sowohl XML- als auch Drag-and-Drop-Optionen für die Visualisierung bieten), während Sie mit zeitgesteuerten Berichten Berichte in verschiedenen Intervallen ausführen und freigeben können. Was den Support und die Community angeht, so hostet Splunk die Splunkbase mit Tausenden von Apps und Add-ons.
Die Plattform verfügt über die Funktionalität, die sowohl von Experten als auch von technisch weniger versierten Benutzern genutzt werden kann. Sie lässt sich gut skalieren – mit der Möglichkeit, unbegrenzte Datenmengen pro Tag zu verarbeiten – und verfügt über integrierte Failover- und Disaster-Recovery-Funktionen.
Die Plattform verfügt über Funktionen, die sowohl von Experten als auch von technisch weniger versierten Nutzern verwendet werden können. Sie lässt sich gut skalieren – mit der Fähigkeit, unbegrenzte Datenmengen pro Tag zu verarbeiten – und verfügt über integrierte Failover- und Disaster-Recovery-Funktionen.
Neben dem selbst gehosteten Splunk Enterprise gibt es auch die Splunk Cloud-Option, bei der Splunk als Service bereitgestellt und verwaltet wird.
Pro’s: Splunk ist gut in dem, was es tut, nämlich in erster Linie die schnelle Konsolidierung von Protokollen, um Daten zu durchsuchen und Erkenntnisse zu gewinnen.
Gegenargumente: Das größte Problem bei Splunk ist die Komplexität der Einrichtung und Wartung. Die Lernkurve ist relativ steil, und es kann einige Zeit dauern, bis man es richtig in Gang gebracht hat und laufend verwalten kann. Ein weiterer wichtiger Punkt ist der Preis, der recht hoch sein kann.
Preisgestaltung: Splunk Enterprise beginnt bei 173 US-Dollar pro eingelesenem GB, wird pro Monat angeboten und jährlich abgerechnet und beinhaltet Standard-Support (keinen Premium-Support, obwohl dieser verfügbar ist).
Sumo Logic
Sumo Logic ist ein Cloud-nativer, maschineller Datenanalysedienst für Log-Management und Zeitreihenmetriken. Mit dem Service können Sie Ihre AWS-, Azure-, Google Cloud Platform- oder Hybrid-Anwendungen erstellen, ausführen und sichern. Der größte Unterschied zu Splunk besteht darin, dass Sumo Logic für die Cloud entwickelt wurde. Auch wenn Splunk jetzt seine Splunk-Cloud-Option anbietet, ist die Architektur von Sumo Logic auf die Cloud-Nutzung ausgerichtet. Das bedeutet, dass die Integration reibungsloser verläuft, insbesondere wenn es um Plattformen wie AWS geht; die Skalierbarkeit ist eingebaut, es besteht keine Notwendigkeit für ständige Updates, und der Einstieg ist schneller und einfacher als bei Splunk.
Profis: Sumo Logic ist einfach zu bedienen und hat alle Vorteile einer SaaS-Lösung, wie z.B. Skalierbarkeit, schneller Start und so weiter. Einige Leute mögen die Benutzeroberfläche, während andere das Aussehen und das Gefühl der anderen Angebote bevorzugen.
Gegenargumente: Sumo Logic fehlt es an einigen der erweiterten Funktionen von Splunk, insbesondere im Hinblick auf das Splunk Enterprise-Angebot. Es gab Beschwerden über die Geschwindigkeit von Sumo Logic bei der Suche nach älteren Daten, den Kundenservice und die teuren Preise. Sumo Logic fehlt auch ein Teil des Community-Supports von Splunk und insbesondere ELK.
Preisgestaltung: Die Sumo Logic Enterprise-Plattform beginnt bei 150 US-Dollar pro GB pro Monat, wobei eine jährliche Verpflichtung erforderlich ist. Wenn Sie das vollständige Support-Paket wünschen, ist dies ein optionales Add-on zu diesem Paket.
ELK
ELK ist die weltweit beliebteste Log-Management-Plattform. Der ELK Stack besteht aus 3 verschiedenen Lösungen, die alle Open-Source sind: Elasticsearch, Logstash und Kibana.
Elasticsearch ist eine auf Lucene basierende Suchmaschine, die eine verteilte, mandantenfähige Volltextsuchmaschine mit einem HTTP-Webinterface und schemafreien JSON-Dokumenten bietet. Logstash wird zum Sammeln, Parsen und Speichern von Protokollen verwendet, und Kibana ist ein Tool zur Datenvisualisierung. Ein weiterer Bestandteil des Stacks ist Beats, eine Plattform für leichtgewichtige Verlader, die Daten von Edge-Maschinen an Logstash und Elasticsearch sendet. Mit der Hinzufügung von Beats wurde der ELK Stack als Elastic Stack bekannt.
Mit ELK können Sie Daten aus jeder Quelle und in jedem Format zuverlässig und sicher aufnehmen und in Echtzeit durchsuchen, analysieren und visualisieren. Da ELK Open Source ist, wurde es von der großen ELK-Community ausgiebig getestet und genießt das Vertrauen von Unternehmen wie Sprint, Microsoft, eBay und Facebook.
Profis: ELK konsolidiert 3 ausgereifte Komponenten zu einer leistungsstarken Lösung. Da es sich um ein Open-Source-Tool handelt, ergeben sich zahlreiche Vorteile, die mit der Einführung von ELK einhergehen. Im Allgemeinen hat es eine enorme Bewegung in Richtung Open Source gegeben, insbesondere für Unternehmen. Open-Source-Lösungen bieten ein hohes Maß an Kontrolle, da man nicht an eine starre Vorgehensweise gebunden ist, und Open-Source-Tools, insbesondere ELK/Elastic Stack, bringen eine lebendige Gemeinschaft von Mitwirkenden, Testern und anderen Anwendern mit sich, die zu Ihrem Erfolg beitragen können.
Gegengründe: Wenn Sie es selbst einrichten, kann es eine Herausforderung sein, es einzurichten und zu warten. Die meisten Nutzer entscheiden sich für eine Lösung, die die Einrichtung für sie übernimmt.
Preisgestaltung: Kostenlos (wenn Sie die Open-Source-Version ohne X-Pack verwenden)
…And the winner is
In Anbetracht unserer beträchtlichen kombinierten Erfahrung mit all diesen Plattformen musste die Entscheidung für die eine sorgfältig abgewogen werden. Die Funktionalität und der Funktionsumfang von Splunk, die Einfachheit und die Cloud-Native-Vorteile von Sumo Logic und das Open-Source-Design und die Robustheit von ELK.
Ein Gewinner musste ausgewählt werden, und auf der Grundlage all unserer Recherchen und Erfahrungen musste es ELK sein – dank seiner lebendigen Community, der Tatsache, dass es ständig verbessert wird und sich schneller als seine Konkurrenten weiterentwickelt, eine bessere Unterstützung des JSON-Formats bietet, einfacher zu bedienen ist und natürlich zu einem viel niedrigeren Preis angeboten wird.
Trotz seiner Nachteile – in den Standardversionen fehlen Alerting, Anomalieerkennung und Integrationen in den Entwicklungslebenszyklus – steht es als Allround-Tool über den anderen.
Die Kontrolle über Ihre Protokolle ist entscheidend, sei es für die Produktionsüberwachung und Fehlersuche, für Sicherheitszwecke, für die Ressourcennutzung oder für eine andere der vielen wichtigen Geschäftsfunktionen, die die Protokollanalyse unterstützt.
Mit der Plattform von Coralogix können Sie wissen, wann Ihre Abläufe unterbrochen werden, Ihre Protokolldaten automatisch in ihre ursprünglichen Muster zurückführen, so dass Sie stundenlange Daten in Sekundenschnelle einsehen können, alle Schlüsselindikatoren Ihres Unternehmens auf einen Blick sehen und vieles mehr. Sind Sie daran interessiert, mehr darüber zu erfahren, wie Ihr Unternehmen davon profitieren kann? Besuchen Sie Coralogix, um zu sehen, wie wir Ihnen helfen können.