Desde la supervisión de la producción hasta los problemas de seguridad, es fundamental para las empresas analizar y revisar sus datos de registro. Esto es particularmente cierto para las empresas grandes y corporativas, donde la gran cantidad de datos hace que el análisis de registros sea la forma más eficiente de rastrear los indicadores clave. Los directores de tecnología, en particular, se enfrentan a los desafíos de esta cantidad masiva de datos que fluyen a través de su organización, incluyendo la forma de aprovecharlos, obtener información de ellos y protegerlos.
Cuando se trata de las mejores plataformas para el análisis de registros y soluciones de gestión de eventos e información de seguridad (SIEM), surgen 3 alternativas triviales: Splunk, Sumo Logic y ELK.
Elegir cuál de estos grandes cañones elegir no es tarea fácil. Vamos a ver estas 3 principales plataformas, incluyendo sus ventajas y desventajas, y ver quién sale ganador.
Splunk
Splunk Enterprise es una plataforma para agregar y analizar datos. Con Splunk puede automatizar las funciones de recopilación, indexación, supervisión y alerta cuando se trata de sus datos, para controlar y aprovechar la información que fluye en su negocio.
Las búsquedas programadas le permiten crear cuadros de mando y visualizaciones en tiempo real (ofreciendo opciones de personalización tanto en XML como en estilo de arrastrar y soltar para la visualización), mientras que los informes programados le permiten ejecutar y compartir informes en varios intervalos. En términos de soporte y comunidad, Splunk alberga Splunkbase, que cuenta con miles de aplicaciones y complementos.
La plataforma tiene la funcionalidad para ser utilizada por expertos, así como por usuarios con menos conocimientos técnicos. Se adapta bien – con la capacidad de escalar hasta cantidades ilimitadas de datos por día – y tiene capacidades integradas de recuperación de desastres y de conmutación por error.
La plataforma tiene la funcionalidad para ser utilizada por expertos, así como por usuarios con menos inclinación técnica. Se escala bien – con la capacidad de escalar hasta cantidades ilimitadas de datos por día – y ha incorporado la conmutación por error y capacidades de recuperación de desastres.
Además de la auto-alojado Splunk Enterprise, también existe la opción de Splunk Cloud, donde Splunk se despliega y gestiona como un servicio.
Pro: Splunk es bueno en lo que hace, que es principalmente, la consolidación rápida de los registros para poder buscar datos y encontrar insights.
Con: La mayor preocupación con Splunk es la complejidad de configurarlo y mantenerlo. Tiene una curva de aprendizaje relativamente pronunciada y puede llevar tiempo ponerlo en marcha correctamente y gestionarlo de forma continuada. El otro gran problema a tener en cuenta es el precio, que puede ser bastante elevado.
Precios: Splunk Enterprise comienza en 173 dólares por GB ingestado, se cotiza por mes y se factura anualmente, e incluye soporte estándar (no premium, aunque está disponible).
Sumo Logic
Sumo Logic es un servicio de análisis de datos de máquinas nativo de la nube para la gestión de registros y métricas de series temporales. Con el servicio, puede construir, ejecutar y asegurar sus aplicaciones de AWS, Azure, Google Cloud Platform o híbridas. La mayor diferencia en comparación con Splunk es que Sumo Logic está construido para la nube; aunque Splunk ofrece ahora su opción de nube Splunk, la arquitectura de Sumo Logic está construida en torno al uso de la nube. Esto significa que las integraciones son más fluidas, especialmente cuando se trata de plataformas como AWS; la escalabilidad está incorporada, no hay necesidad de actualizaciones constantes, y empezar a trabajar es más rápido y fácil que con Splunk.
Pro: Sumo Logic es fácil de usar, y tiene todas las ventajas de ser una solución SaaS, como la escalabilidad, ponerse en marcha rápidamente, etc. A algunas personas les gusta la interfaz de usuario, mientras que otras prefieren el aspecto de otras ofertas.
Contra: Sumo Logic carece de algunas de las características extendidas de Splunk, particularmente cuando se trata de la oferta de Splunk Enterprise. Ha habido quejas sobre la velocidad de Sumo Logic al buscar datos antiguos, su servicio de atención al cliente y su precio, que es caro. Sumo Logic también carece de parte del apoyo de la comunidad de Splunk y en particular de ELK.
Precios: La plataforma Sumo Logic Enterprise comienza en 150 dólares por GB al mes, con un compromiso anual requerido. Si desea el paquete de soporte completo, es un complemento opcional a este paquete.
ELK
ELK es la plataforma de gestión de registros más popular del mundo. La pila ELK está formada por 3 soluciones diferentes, todas ellas de código abierto: Elasticsearch, Logstash y Kibana.
Elasticsearch es un motor de búsqueda basado en Lucene, que proporciona un motor de búsqueda de texto completo distribuido y con capacidad multitenant, con una interfaz web HTTP y documentos JSON sin esquema. Logstash se utiliza para recoger, analizar y almacenar registros, y Kibana es una herramienta de visualización de datos. También se incluye como parte de la pila Beats, una plataforma para cargadores ligeros que envía datos desde máquinas de borde a Logstash y Elasticsearch. Con la adición de Beats, ELK Stack pasó a conocerse como Elastic Stack.
Con ELK, puede ingerir datos de forma fiable y segura desde cualquier fuente, en cualquier formato, y buscarlos, analizarlos y visualizarlos en tiempo real. Al ser de código abierto, ha sido probado rigurosamente por la gran comunidad de ELK, y cuenta con la confianza de empresas como Sprint, Microsoft, eBay y Facebook.
Pro: ELK consolida 3 componentes maduros para formar 1 potente solución. Al ser una herramienta de código abierto, hay numerosos beneficios que vienen con la adopción de ELK. En general, ha habido un enorme movimiento hacia el código abierto, especialmente para las empresas. Las soluciones de código abierto vienen con una gran cantidad de control, donde usted no está atado a una forma rígida de hacer las cosas, y las herramientas de código abierto, especialmente una como ELK/Elastic Stack, traen consigo una vibrante comunidad de colaboradores, probadores y compañeros usuarios que pueden contribuir a su éxito.
Con: Si usted está configurando usted mismo, puede ser un reto para configurar y mantener. La mayoría de los usuarios optan por una solución que se encarga de la configuración por ellos.
Precios: Gratis (si se utiliza la versión de código abierto sin X-pack)
…Y el ganador es
Dada nuestra significativa experiencia combinada con todas estas plataformas, la decisión sobre cuál elegir tuvo que ser cuidadosamente sopesada. La funcionalidad y el conjunto de características de Splunk, la simplicidad y las ventajas de la nube nativa de Sumo Logic, y el diseño de código abierto y la naturaleza robusta de ELK.
Una ganadora tuvo que ser elegida, y sobre la base de toda nuestra investigación y experiencia, tuvo que ser ELK – gracias a su vibrante comunidad, el hecho de que está mejorando constantemente y evolucionando más rápido que sus competidores, tiene un mejor soporte de formato JSON, es más fácil de usar y empezar, y por supuesto viene a un precio mucho más bajo.
Esto es a pesar de sus inconvenientes – las versiones estándar de la misma carecen de alertas, detección de anomalías y las integraciones en el ciclo de vida de desarrollo – en general, sin embargo, se destaca por encima de los demás como una herramienta integral.
Estar en la cima de sus registros es fundamental, ya sea para la supervisión de la producción y la depuración, con fines de seguridad, el uso de recursos, o cualquier otra de la multitud de funciones de negocio clave de análisis de registro apoya.
Con la plataforma de Coralogix, puede saber cuándo se rompen sus flujos, agrupar automáticamente sus datos de registro en sus patrones originales para que pueda ver horas de datos en segundos, ver todos los indicadores clave de su organización de un vistazo, y mucho más. ¿Está interesado en saber más sobre cómo puede beneficiarse su organización? Consulte Coralogix para ver cómo podemos ayudarle.