Bonjour, Pour avoir déjà mis en place des infrastructures Splunk et ELK, les solutions ne sont pas du tout comparable.
A mon sens, les solutions à base de ElasticSearch (Fluentd, Logstash, ...) avec une interface Kibana doivent être utilisé pour permettre/simplifier la consultation de log sur une interface web pour des équipes techniques. => Idéal pour des logs techniques qui ne nécessitent pas de gestion de droit d'accès, ni d'alerting ou de reporting Splunk est utilisé dans les entreprises en tant que solution d'exploitation de plateforme, de sécurité ou de Business Intelligence (BI), il est utilisé par les équipes techniques et les équipes métier. => Idéal pour être utilisé à l'échelle d'une entreprise : authentification centralisé, gestion de droit d'accès, plateforme mixte (Windows/Linux), multi-site, ... Quelques points sur ELK : - Pas de gestion de l'authentification dans Kibana (à faire avec un reverse proxy) - Changement complet du fonctionnement de Kibana entre la version 3 et la version 4 (l'interface web stateless (AngularJS) devient un serveur web/proxy à part entière!) - Debug de l'agent logstash forwarder franchement galère - Cluster Elasticsearch à configurer/entretenir - Pas de mécanisme de purge des données par défaut (les surprises arrivent après quelques mois d'utilisation...) - Choix à faire entre Logstash et Fluentd Quelques points sur Splunk : - Solution déployable par "role" (agent de collect, proxy, serveur de stockage, interface front) => Idéale pour des infrastructures avec des zones de sécurité (DMZ, interco, backend, ...) - Agent de collect réellement disponible pour Windows/Linux - Licence au volume de log collecté par jour (500 Mo gratuit) => ~$5.000 pour 1 Go de log par jour Les bonnes questions à se poser pour se type de projet : - Quels sont les tableaux de bord dont j'ai besoin ? - Est ce qu'il y a des données métiers ? - Qui va accéder aux données ? Est ce que j'ai besoin de limiter l'accès aux données ? - Quelle est la rétention des données souhaitées (ne pas oublier la granularité) ? - Est ce qu'il y a des contraintes au niveau de l'infrastructure réseau (zones de sécurité, multi-site, ...) ? On Wed, Jul 22, 2015 at 10:54 AM, Phil Regnauld <regna...@x0.dk> wrote: > Guillaume Rose (guillaume.rose) writes: > > Étrangement, personne ne parle de Splunk ($$$). > > +1 pour ELK. > > Fluentd + Kibana. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
