Dal monitoraggio della produzione ai problemi di sicurezza, è fondamentale per le aziende analizzare ed esaminare i loro dati di log. Questo è particolarmente vero per le grandi aziende e le imprese, dove l’enorme quantità di dati rende l’analisi dei log il modo più efficiente per monitorare gli indicatori chiave. I CTO, in particolare, stanno affrontando le sfide di questa enorme quantità di dati che scorre attraverso la loro organizzazione, compreso il modo di sfruttarla, raccogliere approfondimenti da essa e metterla in sicurezza.
Quando si tratta delle migliori piattaforme per l’analisi dei log e le soluzioni di security information and event management (SIEM), vengono fuori 3 alternative banali: Splunk, Sumo Logic e ELK.
Scegliere quale di queste grandi armi scegliere non è un compito facile. Esamineremo queste 3 piattaforme principali, compresi i loro vantaggi e svantaggi, e vedremo chi esce vincitore.
Splunk
Splunk Enterprise è una piattaforma per aggregare e analizzare i dati. Con Splunk è possibile automatizzare la raccolta, l’indicizzazione, il monitoraggio e le funzioni di avviso quando si tratta di dati, per controllare e sfruttare le informazioni che fluiscono nel vostro business.
Le ricerche programmate consentono di creare dashboard e visualizzazioni in tempo reale (offrendo sia XML che opzioni di personalizzazione in stile drag-and-drop per la visualizzazione), mentre i rapporti programmati consentono di eseguire e condividere i rapporti a vari intervalli. In termini di supporto e comunità, Splunk ospita Splunkbase che ha migliaia di applicazioni e componenti aggiuntivi.
La piattaforma ha la funzionalità per essere utilizzata da esperti, così come da utenti meno tecnici. Si scala bene – con la capacità di scalare fino a quantità illimitate di dati al giorno – e ha capacità integrate di failover e disaster recovery.
La piattaforma ha la funzionalità per essere usata da esperti, così come da utenti meno tecnici. Si scala bene – con la capacità di scalare fino a quantità illimitate di dati al giorno – e ha built-in failover e capacità di disaster recovery.
Oltre al self-hosted Splunk Enterprise, c’è anche l’opzione Splunk Cloud, dove Splunk è distribuito e gestito come un servizio.
Pro’s: Splunk è bravo in quello che fa, che è principalmente, il consolidamento veloce dei log per essere in grado di cercare i dati e trovare intuizioni.
Con’s: La più grande preoccupazione con Splunk è la complessità della sua impostazione e manutenzione. Ha una curva di apprendimento relativamente ripida e può richiedere tempo per andare avanti correttamente e gestire su base continuativa. L’altro grande problema di cui essere consapevoli è il prezzo, che può essere abbastanza alto.
Prezzi: Splunk Enterprise parte da 173 dollari per GB ingerito, è quotato al mese, e viene fatturato annualmente, e include il supporto standard (non premium, anche se questo è disponibile).
Sumo Logic
Sumo Logic è un servizio cloud-native, di analisi dei dati macchina per la gestione dei log e le metriche delle serie temporali. Con il servizio, è possibile costruire, eseguire e proteggere le applicazioni AWS, Azure, Google Cloud Platform o ibride. La più grande differenza rispetto a Splunk è che Sumo Logic è costruito per il cloud; anche se Splunk ora offre la sua opzione Splunk cloud, l’architettura di Sumo Logic è costruita intorno all’uso del cloud. Questo significa che le integrazioni sono più fluide, in particolare quando si tratta di piattaforme come AWS; la scalabilità è incorporata, non c’è bisogno di aggiornamenti costanti, e iniziare è più facile e veloce che con Splunk.
Pro: Sumo Logic è facile da usare, e ha tutti i vantaggi di essere una soluzione SaaS, come la scalabilità, l’entrata in funzione rapida e così via. Ad alcune persone piace l’interfaccia utente, mentre altri preferiscono il look and feel delle altre offerte.
Con’s: Sumo Logic manca di alcune delle caratteristiche estese di Splunk, in particolare quando si tratta dell’offerta Splunk Enterprise. Ci sono state lamentele sulla velocità di Sumo Logic durante la ricerca di dati più vecchi, il suo servizio clienti e i suoi prezzi che sono sul lato costoso. Sumo Logic manca anche del supporto della comunità di Splunk e in particolare di ELK.
Prezzi: La piattaforma Sumo Logic Enterprise parte da $150 per GB al mese, con un impegno annuale richiesto. Se vuoi il pacchetto di supporto completo, è un’aggiunta opzionale a questo pacchetto.
ELK
ELK è la piattaforma di gestione dei log più popolare al mondo. Lo stack ELK è composto da 3 diverse soluzioni, tutte open-source: Elasticsearch, Logstash e Kibana.
Elasticsearch è un motore di ricerca basato su Lucene, che fornisce un motore di ricerca full-text distribuito, multitenant-capable, con un’interfaccia web HTTP e documenti JSON senza schema. Logstash è utilizzato per raccogliere, analizzare e memorizzare i log, e Kibana è uno strumento di visualizzazione dei dati. Anche incluso come parte dello stack è Beats, una piattaforma per shipper leggeri che invia i dati dalle macchine edge a Logstash ed Elasticsearch. Con l’aggiunta di Beats, ELK Stack è diventato noto come Elastic Stack.
Con ELK, è possibile ingerire in modo affidabile e sicuro dati da qualsiasi fonte, in qualsiasi formato, e cercare, analizzare e visualizzare in tempo reale. Essendo open source, è stato rigorosamente testato dalla grande comunità ELK, ed è affidabile per aziende come Sprint, Microsoft, eBay e Facebook.
Pro’s: ELK consolida 3 componenti maturi per formare 1 soluzione potente. Essendo uno strumento open source, ci sono numerosi vantaggi che vengono con l’adozione di ELK. In generale, c’è stato un enorme movimento verso l’open source, in particolare per le imprese. Le soluzioni open source sono dotate di un sacco di controllo, dove non si è legati a un modo rigido di fare le cose, e gli strumenti open source, in particolare uno come ELK/Elastic Stack, portano con sé una vivace comunità di collaboratori, tester e altri utenti che possono contribuire al vostro successo.
Con: Se ti stai organizzando da solo, può essere impegnativo da impostare e mantenere. La maggior parte degli utenti sceglie una soluzione che gestisce la configurazione per loro.
Prezzi: Gratuito (se si utilizza la versione open source senza X-pack)
…E il vincitore è
Data la nostra significativa esperienza combinata con tutte queste piattaforme, la decisione su quale scegliere ha dovuto essere attentamente soppesata. La funzionalità e il set di caratteristiche di Splunk, la semplicità e i vantaggi cloud-native di Sumo Logic, e il design open source e la natura robusta di ELK.
Si doveva scegliere un vincitore, e sulla base di tutte le nostre ricerche ed esperienze, doveva essere ELK – grazie alla sua vivace comunità, il fatto che è in costante miglioramento ed evoluzione più veloce dei suoi concorrenti, ha un migliore supporto del formato JSON, è più facile da usare e iniziare, e naturalmente ha un prezzo molto inferiore.
Questo nonostante i suoi svantaggi – le versioni standard mancano di avvisi, rilevamento delle anomalie e integrazioni nel ciclo di vita dello sviluppo – nel complesso, tuttavia, si pone al di sopra degli altri come uno strumento a tutto tondo.
Essere in cima ai vostri log è fondamentale, sia per il monitoraggio e il debug della produzione, sia per scopi di sicurezza, utilizzo delle risorse o qualsiasi altra delle molteplici funzioni aziendali chiave che l’analisi dei log supporta.
Con la piattaforma di Coralogix, è possibile sapere quando i flussi si interrompono, raggruppare automaticamente i dati di log nei loro modelli originali in modo da poter visualizzare ore di dati in pochi secondi, vedere tutti gli indicatori chiave della vostra organizzazione a colpo d’occhio e molto altro ancora. Sei interessato a scoprire di più su come la tua organizzazione può trarre vantaggio? Controlla Coralogix per vedere come possiamo aiutarti.