Substituição do Splunk relativamente boa: logstash por kibana. Obviamente, configurá-lo é muito mais complicado do que configurar o Splunk, mas oferece um conjunto de recursos semelhante - mas não tão completo.

Primeiro, seus requisitos:

Fácil instalação : falha. A instalação do logstash e do kibana requer várias etapas. Nenhum pacote oficial de rpm está disponível. Recentemente, avaliei todos os gerenciadores de registros gratuitos que pude encontrar e não havia alternativas ricas em recursos que fossem fáceis de instalar.

coleta e indexação de registros : verificar. O logstash coleta e indexa logs de arquivos ou por meio de syslog, entre outros mecanismos. Tudo é indexado no ElasticSearch.

logs de pesquisa : verifique. ElasticSearch oferece bons recursos de pesquisa e filtragem.

monitoramento e alerta : verificar? logstash oferece suporte a alertas com base em taxas e valores de mensagens.

web gui : verifique. Kibana oferece uma interface web decente para logstash.

Na minha experiência, as principais diferenças entre Splunk e logstash / kibana são as seguintes:

• No Splunk, praticamente tudo é configurável a partir da IU e integrado. Isso inclui coisas como autenticação do usuário. Com logstash / kibana, esse não é o caso. Tanto o logstash ("backend") quanto o Kibana ("frontend") têm muitas opções que não estão muito bem documentadas e exigem ajustes de arquivos de configurações ou modelos (ou código).
• Splunk tem melhor desempenho (mas que vem com alto custo). A arquitetura logstash suporta dimensionamento horizontal para vários servidores, se necessário.
• Splunk tem uma aparência melhor. Para administradores de sistemas, isso geralmente não importa, mas para o usuário comum, geralmente faz a diferença.
• O Splunk analisa algumas entradas de log melhor do que o logstash. No entanto, a análise de campo no logstash é boa o suficiente e facilmente configurável.
• Com o logstash, você precisa tomar mais decisões manuais (indexação, retenção, filtros, métricas etc.). Partes da configuração são difíceis de alterar posteriormente. Com o Splunk, praticamente tudo é configurável a qualquer momento e os padrões são bons.

Existem algumas ferramentas de monitoramento longas por aí, estamos usando o Logscape. A diferença entre o código aberto e a solução comercial é quanto tempo você leva para começar.

Logscape e Splunk têm recursos semelhantes e são adequados para o que você deseja fazer. Excluindo as diferenças em torno da posse e modelagem de dados, a principal diferença é o volume de dados que você pode usar com a versão gratuita dessas ferramentas. O Splunk será limitado, mas o Logscape é ilimitado, desde que você use apenas os agentes de coleta de dados. Os outros componentes do sistema fornecem mais recursos da empresa.