Do monitoramento de produção às preocupações de segurança, é crítico para as empresas analisar e revisar seus dados de log. Isto é particularmente verdade para grandes empresas e empresas, onde a grande quantidade de dados torna a análise de log a forma mais eficiente de rastrear indicadores chave. CTOs, em particular, estão lidando com os desafios dessa enorme quantidade de dados que flui através de sua organização, incluindo como aproveitá-los, obter insights a partir deles e protegê-los.
Quando se trata das melhores plataformas para análise de log e soluções de gerenciamento de informações e eventos de segurança (SIEM), surgem 3 alternativas triviais: Splunk, Sumo Logic e ELK.
Escolher qual destas grandes armas combinar não é tarefa fácil. Vamos olhar para estas 3 principais plataformas, incluindo suas vantagens e desvantagens, e ver quem sai vencedor.
Splunk
Splunk Enterprise é uma plataforma para agregar e analisar dados. Com o Splunk você pode automatizar as funções de coleta, indexação, monitoramento e alerta quando se trata de seus dados, para controlar e aproveitar as informações que fluem no seu negócio.
Procuras programadas permitem que você crie painéis de controle e visualizações em tempo real (oferecendo tanto XML quanto opções de customização de estilo drag-and-drop para visualização), enquanto relatórios programados permitem que você execute e compartilhe relatórios em vários intervalos. Em termos de suporte e comunidade, o Splunk hospeda o Splunkbase que tem milhares de aplicativos e add-ons.
A plataforma tem a funcionalidade para ser usada por especialistas, assim como por usuários menos inclinados tecnicamente. A plataforma tem a funcionalidade para ser usada por especialistas, bem como por usuários menos inclinados tecnicamente. Ela escalona bem – com a capacidade de escalar até quantidades ilimitadas de dados por dia – e tem capacidades incorporadas de failover e recuperação de desastres.
Além do Splunk Enterprise auto-hospedado, há também a opção Splunk Cloud, onde o Splunk é implantado e gerenciado como um serviço.
Pro’s: Splunk é bom no que faz, que é principalmente, a consolidação rápida de logs para poder pesquisar dados e encontrar insights.
Con’s: A maior preocupação com o Splunk é a complexidade da sua configuração e manutenção. Ele tem uma curva de aprendizagem relativamente íngreme e pode levar tempo para começar a funcionar corretamente e gerenciar de forma contínua. A outra grande questão a ter em conta é o preço, que pode ser bastante elevado.
Pricing: Splunk Enterprise começa em $173 por GB ingerido, é cotado por mês, e é cobrado anualmente, e inclui suporte padrão (não premium, embora este esteja disponível).
Sumo Logic
Sumo Logic é um serviço de análise de dados de máquina, nativo da nuvem, para gerenciamento de logs e métricas de séries temporais. Com o serviço, você pode criar, executar e proteger seus aplicativos AWS, Azure, Google Cloud Platform ou híbridos. A maior diferença quando comparado com o Splunk é que o Sumo Logic é construído para a nuvem; apesar de o Splunk oferecer agora a sua opção Splunk cloud, a arquitetura do Sumo Logic é construída em torno do uso da nuvem. Isto significa que as integrações são mais suaves, particularmente quando se trata de plataformas como AWS; a escalabilidade é incorporada, não há necessidade de atualizações constantes, e começar é mais rápido e fácil do que com Splunk.
Pro’s: Sumo Logic é fácil de usar, e tem todas as vantagens de ser uma solução SaaS, como a escalabilidade, pôr-se a funcionar rapidamente, e assim por diante. Algumas pessoas gostam da IU, enquanto outras vêem preferir o visual e a sensação das outras ofertas.
Con’s: Sumo Logic carece de alguns dos recursos estendidos do Splunk, particularmente quando se trata da oferta Splunk Enterprise. Tem havido reclamações sobre as velocidades da Sumo Logic ao pesquisar dados mais antigos, o seu serviço ao cliente e o seu preço estar no lado caro. Sumo Logic também carece de algum apoio da comunidade do Splunk e particularmente do ELK.
Pricing: A plataforma Sumo Logic Enterprise começa em $150 por GB por mês, com um compromisso anual exigido. Se você quiser o pacote de suporte completo, é um add-on opcional para este pacote.
ELK
ELK é a plataforma de gerenciamento de logs mais popular do mundo. O ELK Stack é composto por 3 soluções diferentes, todas elas open-source: Elasticsearch, Logstash e Kibana.
Elasticsearch é um motor de busca baseado em Lucene, que fornece um motor de busca de texto completo, distribuído e com capacidade para vários clientes, com uma interface web HTTP e documentos JSON sem esquemas. Logstash é usado para coletar, analisar e armazenar logs, e Kibana é uma ferramenta de visualização de dados. Também incluído como parte da pilha está Beats, uma plataforma para expedidores leves que envia dados de máquinas de borda para Logstash e Elasticsearch. Com a adição dos Beats, o ELK Stack ficou conhecido como Elastic Stack.
Com o ELK, você pode, de forma confiável e segura, ingerir dados de qualquer fonte, em qualquer formato, e pesquisar, analisar e visualizar os dados em tempo real. Sendo de código aberto, ele foi rigorosamente testado pela grande comunidade ELK, e é confiável por empresas como Sprint, Microsoft, eBay e Facebook.
Pro’s: O ELK consolida 3 componentes maduros para formar 1 solução poderosa. Sendo uma ferramenta de código aberto, há inúmeros benefícios que vêm com a adoção do ELK. Em geral, tem havido um tremendo movimento em direção ao código aberto, particularmente para as empresas. Soluções de código aberto vêm com muito controle, onde você não está preso a uma maneira rígida de fazer as coisas, e ferramentas de código aberto, especialmente uma como o ELK/Elastic Stack, trazem consigo uma comunidade vibrante de colaboradores, testadores e colegas usuários que podem contribuir para o seu sucesso.
Con’s: Se você está se configurando, pode ser um desafio configurar e manter. A maioria dos usuários vai com uma solução que lida com a configuração para eles.
Pricing: Grátis (se você estiver usando a versão open source sem X-pack)
…E o vencedor é
Dada a nossa significativa experiência combinada com todas estas plataformas, a decisão sobre qual escolher teve que ser cuidadosamente ponderada. A funcionalidade e o conjunto de características do Splunk, a simplicidade e as vantagens nativas da Sumo Logic, e o design de código aberto e a natureza robusta do ELK.
Foram escolhidos um vencedor, e com base em toda a nossa pesquisa e experiência, teve de ser o ELK – graças à sua comunidade vibrante, ao facto de estar constantemente a melhorar e a evoluir mais rapidamente do que os seus concorrentes, de ter um melhor suporte no formato JSON, de ser mais fácil de usar e de começar, e, claro, de ter um preço muito mais baixo.
Isto apesar dos seus inconvenientes – as versões padrão faltam alerta, detecção de anomalias e integrações no ciclo de vida do desenvolvimento – no entanto, em geral, ele está acima dos outros como uma ferramenta completa.
Estar no topo dos seus logs é crítico, seja para o monitoramento e depuração da produção, fins de segurança, uso de recursos, ou qualquer outra das inúmeras funções-chave de análise de logs de negócios.
Com a plataforma Coralogix, você pode saber quando seus fluxos se quebram, agrupar automaticamente seus dados de log de volta aos seus padrões originais para que você possa ver horas de dados em segundos, ver todos os indicadores chave de sua organização em um relance, e muito mais. Interessado em saber mais sobre como a sua organização pode se beneficiar? Confira Coralogix para ver como podemos ajudar.