Van productiemonitoring tot beveiligingsproblemen, het is van cruciaal belang voor bedrijven om hun loggegevens te analyseren en te beoordelen. Dit geldt met name voor grote en enterprise-bedrijven, waar de enorme hoeveelheid gegevens maakt dat loganalyse de meest efficiënte manier is om belangrijke indicatoren te volgen. Met name CTO’s hebben te maken met de uitdagingen van deze enorme hoeveelheid gegevens die door hun organisatie stroomt, waaronder hoe deze te benutten, er inzichten uit te verzamelen en te beveiligen.
Als het gaat om de beste platforms voor loganalyse en oplossingen voor security information and event management (SIEM), komen er 3 triviale alternatieven naar voren: Splunk, Sumo Logic en ELK.
Kiezen met welke van deze grote kanonnen je in zee moet gaan, is geen gemakkelijke taak. We bekijken deze top 3 platformen, inclusief hun voor- en nadelen, en kijken wie er als winnaar uit de bus komt.
Splunk
Splunk Enterprise is een platform om data te aggregeren en te analyseren. Met Splunk kunt u het verzamelen, indexeren, bewaken en waarschuwen automatiseren als het gaat om uw gegevens, om de informatie die in uw bedrijf stroomt te controleren en te benutten.
Met geplande zoekopdrachten kunt u realtime dashboards en visualisaties maken (die zowel XML- als drag-and-drop-stijl aanpassingsopties voor visualisatie bieden), terwijl geplande rapporten u in staat stellen om rapporten op verschillende intervallen uit te voeren en te delen. Wat ondersteuning en community betreft, biedt Splunk onderdak aan Splunkbase met duizenden apps en add-ons.
Het platform heeft de functionaliteit om te worden gebruikt door experts, maar ook door minder technisch onderlegde gebruikers. Het schaalt goed – met de mogelijkheid om op te schalen tot onbeperkte hoeveelheden gegevens per dag – en heeft ingebouwde failover- en disaster recovery-mogelijkheden.
Het platform heeft de functionaliteit om te worden gebruikt door experts, maar ook door minder technisch onderlegde gebruikers. Het schaalt goed – met de mogelijkheid om op te schalen tot onbeperkte hoeveelheden gegevens per dag – en heeft ingebouwde failover- en disaster recovery-mogelijkheden.
Naast de zelf gehoste Splunk Enterprise is er ook de Splunk Cloud-optie, waarbij Splunk als een service wordt ingezet en beheerd.
Pro’s: Splunk is goed in wat het doet, en dat is vooral snelle consolidatie van logs om gegevens te kunnen doorzoeken en inzichten te vinden.
Con’s: Het grootste probleem met Splunk is de complexiteit van het opzetten en onderhouden ervan. Het heeft een relatief steile leercurve en kan tijd kosten om goed op gang te komen en doorlopend te beheren. Het andere belangrijke punt om bewust van te zijn is de prijs, die vrij hoog kan zijn.
Prijsstelling: Splunk Enterprise begint bij $173 per ingested GB, wordt per maand geoffreerd, en wordt jaarlijks gefactureerd, en is inclusief standaard (niet premium, hoewel dit beschikbaar is) ondersteuning.
Sumo Logic
Sumo Logic is een cloud-native, machine data analytics service voor log management en time series metrics. Met de service kunt u uw AWS-, Azure-, Google Cloud Platform- of hybride applicaties bouwen, uitvoeren en beveiligen. Het grootste verschil met Splunk is dat Sumo Logic is gebouwd voor de cloud; ook al biedt Splunk nu zijn Splunk-cloudoptie, de architectuur van Sumo Logic is gebouwd rond cloudgebruik. Dit betekent dat integraties soepeler verlopen, vooral als het gaat om platforms zoals AWS; schaalbaarheid is ingebouwd, er zijn geen constante updates nodig, en aan de slag gaan is sneller en eenvoudiger dan met Splunk.
Pro’s: Sumo Logic is eenvoudig te gebruiken en heeft alle voordelen van een SaaS-oplossing, zoals schaalbaarheid, snel aan de slag kunnen, enzovoort. Sommige mensen houden van de UI, terwijl anderen zien liever de look en feel van de andere aanbiedingen.
Con’s: Sumo Logic mist een aantal van de uitgebreide functies van Splunk, vooral als het gaat om het Splunk Enterprise-aanbod. Er zijn klachten geweest over de snelheden van Sumo Logic bij het doorzoeken van oudere gegevens, de klantenservice en de prijsstelling die aan de dure kant is. Sumo Logic mist ook een deel van de ondersteuning van de gemeenschap van Splunk en in het bijzonder ELK.
Prijsstelling: Het Sumo Logic Enterprise-platform begint bij 150 dollar per GB per maand, waarbij een jaarlijkse verbintenis vereist is. Als u het volledige ondersteuningspakket wilt, is dat een optionele add-on bij dit pakket.
ELK
ELK is ’s werelds populairste logbeheerplatform. De ELK Stack bestaat uit 3 verschillende oplossingen, die allemaal open-source zijn: Elasticsearch, Logstash, en Kibana.
Elasticsearch is een zoekmachine gebaseerd op Lucene, die een gedistribueerde, multitenant-capable full-text zoekmachine biedt, met een HTTP-webinterface en schema-vrije JSON-documenten. Logstash wordt gebruikt voor het verzamelen, parseren en opslaan van logs, en Kibana is een datavisualisatietool. Onderdeel van de stack is ook Beats, een platform voor lichtgewicht shippers dat data van edge machines naar Logstash en Elasticsearch stuurt. Met de toevoeging van Beats werd ELK Stack bekend als de Elastic Stack.
Met ELK kunt u op betrouwbare en veilige wijze gegevens uit elke bron en in elk formaat opnemen en deze in realtime doorzoeken, analyseren en visualiseren. Omdat het open source is, is het rigoureus getest door de grote ELK-community en wordt het vertrouwd door bedrijven als Sprint, Microsoft, eBay en Facebook.
Pro’s: ELK consolideert 3 volwassen componenten tot 1 krachtige oplossing. ELK is een open-sourcetool en biedt daarom tal van voordelen. In het algemeen is er een enorme beweging naar open source, vooral voor bedrijven. Open source oplossingen komen met veel controle, waar je niet gebonden bent aan een rigide manier van doen, en open source tools, vooral een als ELK/Elastic Stack, brengen met zich mee een levendige gemeenschap van bijdragers, testers en medegebruikers die kunnen bijdragen aan uw succes.
Con’s: Als je het zelf opzet, kan het een uitdaging zijn om het op te zetten en te onderhouden. De meeste gebruikers kiezen voor een oplossing die de setup voor hen afhandelt.
Prijzen: Gratis (als u de open source versie zonder X-pack gebruikt)
…En de winnaar is
Gezien onze aanzienlijke gecombineerde ervaring met al deze platforms, moest de beslissing over welke te kiezen zorgvuldig worden afgewogen. De functionaliteit en feature set van Splunk, de eenvoud en cloud-native voordelen van Sumo Logic, en het open source ontwerp en robuuste karakter van ELK.
Er moest een winnaar worden gekozen, en op basis van al ons onderzoek en ervaring, moest het ELK zijn – dankzij de levendige gemeenschap, het feit dat het voortdurend verbetert en sneller evolueert dan zijn concurrenten, betere ondersteuning biedt voor JSON-indelingen, eenvoudiger te gebruiken en mee te beginnen is, en natuurlijk tegen een veel lagere prijs.
Dit ondanks de nadelen – de standaardversies missen alerting, anomaliedetectie en integraties in de ontwikkelingslevenscyclus – over het geheel genomen staat het echter boven de anderen als een allround tool.
Op de top van uw logs zitten is van cruciaal belang, of het nu voor productiemonitoring en debugging, beveiligingsdoeleinden, resourcegebruik, of een andere van de veelheid van belangrijke zakelijke functies is die loganalyse ondersteunt.
Met het platform van Coralogix weet u wanneer uw flows worden onderbroken, clustert u uw loggegevens automatisch terug in de oorspronkelijke patronen, zodat u uren gegevens in seconden kunt bekijken, ziet u alle belangrijke indicatoren van uw organisatie in één oogopslag, en nog veel meer. Wilt u meer weten over hoe uw organisatie hiervan kan profiteren? Kijk op Coralogix om te zien hoe we u kunnen helpen.