Från produktionsövervakning till säkerhetsfrågor är det viktigt för företag att analysera och granska sina logguppgifter. Detta gäller särskilt för stora företag och företag, där den stora mängden data gör logganalys till det mest effektiva sättet att spåra nyckelindikatorer. Särskilt CTO:er hanterar utmaningarna med denna enorma mängd data som flödar genom deras organisation, inklusive hur de ska utnyttja den, samla insikter från den och säkra den.
När det gäller de bästa plattformarna för logganalys och SIEM-lösningar (Security Information and Event Management), dyker det upp 3 triviala alternativ: Splunk, Sumo Logic och ELK.
Det är ingen lätt uppgift att välja vilken av dessa stora kanoner man ska välja. Vi ska titta på dessa tre största plattformar, inklusive deras för- och nackdelar, och se vem som vinner.
Splunk
Splunk Enterprise är en plattform för att aggregera och analysera data. Med Splunk kan du automatisera insamling, indexering, övervakning och varningsfunktioner när det gäller dina data, för att kontrollera och utnyttja den information som flödar in i ditt företag.
Med schemalagda sökningar kan du skapa instrumentpaneler och visualiseringar i realtid (med både XML- och drag-och-släpp-anpassningsalternativ för visualisering), medan schemalagda rapporter gör det möjligt för dig att köra och dela rapporter med olika intervall. När det gäller support och community är Splunk värd för Splunkbase som har tusentals appar och tillägg.
Plattformen har funktionalitet som kan användas av såväl experter som mindre tekniskt intresserade användare. Den skalar bra – med möjlighet att skala upp till obegränsade datamängder per dag – och har inbyggda funktioner för failover och katastrofåterställning.
Plattformen har funktionalitet som kan användas av såväl experter som mindre tekniskt intresserade användare. Den skalar bra – med möjlighet att skala upp till obegränsade mängder data per dag – och har inbyggda funktioner för failover och katastrofåterställning.
Förutom det självhostade Splunk Enterprise finns även alternativet Splunk Cloud, där Splunk distribueras och hanteras som en tjänst.
Pro’s: Splunk är bra på det det gör, vilket i första hand är snabb konsolidering av loggar för att kunna söka data och hitta insikter.
Con’s: Splunk är bra på det det gör, vilket i första hand är snabb konsolidering av loggar för att kunna söka data och hitta insikter: Det största problemet med Splunk är att det är komplicerat att konfigurera och underhålla det. Det har en relativt brant inlärningskurva och kan ta tid att komma igång ordentligt och hantera löpande. Den andra stora frågan att vara medveten om är prissättningen, som kan vara ganska hög.
Prissättning: Splunk Enterprise börjar på 173 dollar per inlagd GB, anges per månad och faktureras årligen och inkluderar standardsupport (inte premium, även om detta finns tillgängligt).
Sumo Logic
Sumo Logic är en molnbaserad tjänst för analys av maskindata för logghantering och tidsseriemätningar. Med tjänsten kan du bygga, köra och säkra dina AWS-, Azure-, Google Cloud Platform- eller hybridapplikationer. Den största skillnaden jämfört med Splunk är att Sumo Logic är byggd för molnet; även om Splunk nu erbjuder sitt Splunk-molnalternativ är Sumo Logics arkitektur byggd för molnanvändning. Detta innebär att integrationer är smidigare, särskilt när det gäller plattformar som AWS; skalbarhet är inbyggd, det finns inget behov av ständiga uppdateringar och att komma igång är snabbare och enklare än med Splunk.
Pro’s: Sumo Logic är lätt att använda och har alla fördelar med att vara en SaaS-lösning, t.ex. skalbarhet, att snabbt komma igång och så vidare. Vissa människor gillar användargränssnittet, medan andra föredrar utseendet och känslan hos de andra erbjudandena.
Con’s: Sumo Logic saknar några av de utökade funktionerna hos Splunk, särskilt när det gäller Splunk Enterprise-erbjudandet. Det har förekommit klagomål på Sumo Logics hastigheter vid sökning av äldre data, dess kundtjänst och dess prissättning som är på den dyra sidan. Sumo Logic saknar också en del av det samhällsstöd som Splunk och särskilt ELK erbjuder.
Prissättning: Sumo Logic Enterprise-plattformen börjar på 150 dollar per GB och månad, med ett årligt åtagande som krävs. Om du vill ha det fullständiga supportpaketet är det ett valfritt tillägg till detta paket.
ELK
ELK är världens mest populära logghanteringsplattform. ELK-stacken består av tre olika lösningar, alla med öppen källkod: Elasticsearch, Logstash och Kibana.
Elasticsearch är en sökmotor baserad på Lucene, som tillhandahåller en distribuerad, multitenantkapabel fulltextsökmotor med ett HTTP-webbgränssnitt och schemafria JSON-dokument. Logstash används för att samla in, analysera och lagra loggar och Kibana är ett verktyg för datavisualisering. Som en del av stacken ingår även Beats, en plattform för lättviktsavsändare som skickar data från edge-maskiner till Logstash och Elasticsearch. I och med tillägget av Beats blev ELK Stack känd som Elastic Stack.
Med ELK kan du på ett tillförlitligt och säkert sätt ta emot data från vilken källa som helst, i vilket format som helst, och söka, analysera och visualisera dem i realtid. Eftersom det är öppen källkod har det testats noggrant av den stora ELK-communityn och är betrodd av företag som Sprint, Microsoft, eBay och Facebook.
Pro’s: ELK konsoliderar 3 mogna komponenter till 1 kraftfull lösning. Eftersom ELK är ett verktyg med öppen källkod finns det många fördelar som följer med antagandet av ELK. Generellt sett har det skett en enorm rörelse mot öppen källkod, särskilt för företag. Lösningar med öppen källkod innebär mycket kontroll, där du inte är bunden till ett stelbent sätt att göra saker och ting, och verktyg med öppen källkod, särskilt sådana som ELK/Elastic Stack, medför en livlig gemenskap av bidragsgivare, testare och medanvändare som kan bidra till din framgång.
Con’s: Om du installerar själv kan det vara en utmaning att installera och underhålla. De flesta användare väljer en lösning som hanterar installationen åt dem.
Prissättning: Med tanke på vår betydande kombinerade erfarenhet av alla dessa plattformar måste beslutet om vilken plattform vi skulle välja vägas noggrant. Funktionaliteten och funktionsuppsättningen hos Splunk, enkelheten och de molnnativa fördelarna hos Sumo Logic, och den öppna källkodskonstruktionen och robusta karaktären hos ELK.
En vinnare var tvungen att väljas ut, och baserat på all vår forskning och erfarenhet måste det bli ELK – tack vare dess livliga community, det faktum att den ständigt förbättras och utvecklas snabbare än konkurrenterna, har bättre stöd för JSON-format, är lättare att använda och komma igång med, och naturligtvis har den ett mycket lägre pris.
Detta är trots dess nackdelar – standardversionerna av den saknar varning, anomalidetektering och integrationer i utvecklingslivscykeln – överlag står den dock över de andra som ett allsidigt verktyg.
Att ha koll på dina loggar är kritiskt, oavsett om det är för produktionsövervakning och felsökning, säkerhetsändamål, resursanvändning eller någon annan av de många viktiga affärsfunktioner som logganalysen stöder.
Med Coralogix plattform kan du veta när dina flöden bryts, automatiskt klustra dina loggdata tillbaka till sina ursprungliga mönster så att du kan visa flera timmars data på några sekunder, se alla din organisations nyckelindikatorer i en överblick och mycket mer. Är du intresserad av att ta reda på mer om hur din organisation kan dra nytta av detta? Kolla in Coralogix för att se hur vi kan hjälpa dig.