Tuotannon seurannasta tietoturvaongelmiin yritysten on tärkeää analysoida ja tarkastella lokitietojaan. Tämä pätee erityisesti suuriin ja suuryrityksiin, joissa pelkkä tietomäärä tekee lokianalyysistä tehokkaimman tavan seurata keskeisiä indikaattoreita. Erityisesti teknologiajohtajat joutuvat käsittelemään organisaationsa läpi virtaavan valtavan tietomäärän tuomia haasteita, kuten sitä, miten se valjastetaan, miten siitä kerätään oivalluksia ja miten se suojataan.
Kun on kyse parhaista alustoista lokianalyysille ja turvallisuustiedon- ja tapahtumanhallintaratkaisuille (Security Information and Event Management, SIEM), esiin nousee kolme triviaalia vaihtoehtoa: Splunk, Sumo Logic ja ELK.
Minkä näistä suurista aseista valitset, ei ole helppo tehtävä. Tarkastelemme näitä kolmea parasta alustaa, mukaan lukien niiden edut ja haitat, ja katsomme, kumpi nousee voittajaksi.
Splunk
Splunk Enterprise on alusta tietojen kokoamiseen ja analysointiin. Splunkin avulla voit automatisoida keräys-, indeksointi-, seuranta- ja hälytystoiminnot, kun kyse on tiedoistasi, jotta voit hallita ja hyödyntää liiketoimintaasi virtaavaa tietoa.
Suunniteltujen hakujen avulla voit luoda reaaliaikaisia kojelautoja ja visualisointeja (tarjoten sekä XML- että raahaa-ja-pudota-tyylisiä räätälöintivaihtoehtoja visualisointia varten), kun taas suunniteltujen raporttien avulla voit ajoittaa raportteja ja jakaa niitä eri aikaväleillä. Tuen ja yhteisön osalta Splunk isännöi Splunkbasea, jossa on tuhansia sovelluksia ja lisäosia.
Alustalla on toiminnallisuutta, jota voivat käyttää niin asiantuntijat kuin vähemmän teknisesti suuntautuneet käyttäjätkin. Se skaalautuu hyvin – sillä voidaan skaalata rajoittamattomiin tietomääriin päivässä – ja siinä on sisäänrakennetut vikasietoisuus- ja palautusominaisuudet.
Alustassa on toiminnallisuutta, jota voivat käyttää sekä asiantuntijat että vähemmän teknisesti suuntautuneet käyttäjät. Se skaalautuu hyvin – sillä on kyky skaalautua rajoittamattomiin tietomääriin päivässä – ja siinä on sisäänrakennetut vikasietoisuus- ja palautusominaisuudet.
Itsehallinnoidun Splunk Enterprisen lisäksi tarjolla on myös Splunk Cloud -vaihtoehto, jossa Splunk otetaan käyttöön ja sitä hallitaan palveluna.
Plussat: Splunk on hyvä siinä, mitä se tekee, eli ensisijaisesti lokien nopeassa yhdistämisessä, jotta tietoja voidaan hakea ja löytää oivalluksia.
Miinukset: Suurin huolenaihe Splunkissa on sen käyttöönoton ja ylläpidon monimutkaisuus. Sen oppimiskäyrä on suhteellisen jyrkkä, ja sen kunnollinen käynnistäminen ja jatkuva hallinta voi viedä aikaa. Toinen merkittävä huomioitava asia on hinnoittelu, joka voi olla melko korkea.
Hinnoittelu: Hinnoittelu: Splunk Enterprise alkaa 173 dollarista imuroitua gigatavua kohden, se noteerataan kuukausittain ja laskutetaan vuosittain, ja se sisältää vakiotuen (ei premium-tukea, vaikka sitäkin on saatavilla).
Sumo Logic
Sumo Logic on pilvipohjainen konedata-analyysipalvelu lokien hallintaan ja aikasarjamittareihin. Palvelun avulla voit rakentaa, käyttää ja suojata AWS-, Azure-, Google Cloud Platform- tai hybridisovelluksia. Suurin ero Splunkiin verrattuna on se, että Sumo Logic on rakennettu pilveä varten; vaikka Splunk tarjoaa nykyään Splunk-pilvivaihtoehtonsa, Sumo Logicin arkkitehtuuri on rakennettu pilvikäyttöä varten. Tämä tarkoittaa, että integraatiot ovat sujuvampia erityisesti AWS:n kaltaisten alustojen osalta; skaalautuvuus on sisäänrakennettu, jatkuvia päivityksiä ei tarvita, ja alkuun pääseminen on nopeampaa ja helpompaa kuin Splunkin kanssa.
Pro:t: Sumo Logic on helppokäyttöinen, ja sillä on kaikki SaaS-ratkaisun edut, kuten skaalautuvuus, nopea käyttöönotto ja niin edelleen. Jotkut pitävät käyttöliittymästä, kun taas toiset näkevät mieluummin muiden tarjousten ulkoasun.
Miinukset: Sumo Logicista puuttuu joitakin Splunkin laajennettuja ominaisuuksia, erityisesti Splunk Enterprise -tarjonnan osalta. Sumo Logicin nopeudesta vanhempien tietojen etsinnässä, sen asiakaspalvelusta ja kalliin hinnoittelusta on valitettu. Sumo Logicilta puuttuu myös osa Splunkin ja erityisesti ELK:n yhteisöllisestä tuesta.
Hinnoittelu: Sumo Logic Enterprise -alustan hinnat alkavat 150 dollarista gigatavua kohden kuukaudessa, ja siihen vaaditaan vuosittainen sitoumus. Jos haluat täyden tukipaketin, se on valinnainen lisäosa tähän pakettiin.
ELK
ELK on maailman suosituin lokienhallinta-alusta. ELK Stack koostuu kolmesta eri ratkaisusta, jotka kaikki ovat avoimen lähdekoodin ratkaisuja: Elasticsearch, Logstash ja Kibana.
Elasticsearch on Luceneen perustuva hakukone, joka tarjoaa hajautetun, usean toimeksiantajan käyttöön kykenevän kokotekstihakukoneen, jossa on HTTP-verkkokäyttöliittymä ja skeemattomat JSON-dokumentit. Logstashia käytetään lokien keräämiseen, jäsentämiseen ja tallentamiseen, ja Kibana on datan visualisointityökalu. Osana pinoa on myös Beats, kevyiden shippien alusta, joka lähettää dataa reunakoneista Logstashiin ja Elasticsearchiin. Beatsin lisäämisen myötä ELK-pino tuli tunnetuksi nimellä Elastic Stack.
ElK:n avulla voit luotettavasti ja turvallisesti imuroida dataa mistä tahansa lähteestä, missä tahansa muodossa, ja etsiä, analysoida ja visualisoida sitä reaaliajassa. Avoimen lähdekoodin ansiosta suuri ELK-yhteisö on testannut sen tarkasti, ja siihen luottavat sellaiset yritykset kuin Sprint, Microsoft, eBay ja Facebook.
Pro:t: ELK yhdistää 3 kypsää komponenttia yhdeksi tehokkaaksi ratkaisuksi. Koska kyseessä on avoimen lähdekoodin työkalu, ELK:n käyttöönotolla on lukuisia etuja. Yleisesti ottaen avoimen lähdekoodin suuntaan on menty valtavasti, erityisesti yrityksissä. Avoimen lähdekoodin ratkaisut tuovat mukanaan paljon hallintaa, jolloin et ole sidottu jäykkään toimintatapaan, ja avoimen lähdekoodin työkalut, erityisesti ELK/Elastic Stackin kaltaiset, tuovat mukanaan elinvoimaisen yhteisön, joka koostuu avustajista, testaajista ja käyttäjäkollegoistasi, jotka voivat myötävaikuttaa menestykseesi.
Hyötyjä: Jos perustat itse, sen perustaminen ja ylläpito voi olla haastavaa. Useimmat käyttäjät valitsevat ratkaisun, joka hoitaa asennuksen heidän puolestaan.
Hinnoittelu:
…And the winner is
Voittaja on
Kun otetaan huomioon merkittävä yhdistetty kokemuksemme kaikista näistä alustoista, päätöstä siitä, kumpi valitaan, oli punnittava huolellisesti. Splunkin toiminnallisuus ja ominaisuusvalikoima, Sumo Logicin yksinkertaisuus ja pilvipohjaiset edut sekä ELK:n avoimen lähdekoodin suunnittelu ja vankka luonne.
Voittaja oli valittava, ja kaiken tutkimuksemme ja kokemuksemme perusteella sen oli oltava ELK – kiitos sen elinvoimaisen yhteisön, sen tosiasian, että se paranee ja kehittyy jatkuvasti nopeammin kuin kilpailijansa, sillä on parempi JSON-formaattituki, se on helpommin käyttökelpoinen ja helpommin alkuun saatava, ja tietysti se on myös huomattavasti edullisempi.
Tämä on huonoista puolistaan huolimatta – sen vakioversioista puuttuvat hälytykset, poikkeamien havaitseminen ja integraatiot kehityksen elinkaareen – kaiken kaikkiaan se on kuitenkin muiden yläpuolella monitoimityökaluna.
Lokien hallitseminen on kriittisen tärkeää riippumatta siitä, onko kyse tuotannon seurannasta ja virheenkorjauksesta, tietoturvatehtävistä, resurssien käytöstä tai jostakin muusta lukuisista tärkeistä liiketoimintatoiminnoista, joita lokianalyysi tukee.
Coralogixin alustan avulla tiedät, milloin virtauksesi katkeavat, voit automaattisesti ryhmitellä lokitietosi takaisin alkuperäisiin kuvioihinsa, jotta voit tarkastella tuntikausien tietoja sekunneissa, näet kaikki organisaatiosi keskeiset indikaattorit yhdellä silmäyksellä ja paljon muuta. Haluatko tietää lisää siitä, miten organisaatiosi voi hyötyä? Tutustu Coralogixiin ja katso, miten voimme auttaa.