Bonsoir,
Tu parles de deux choses complètement différentes : la centralisation de
logs d'équipements et la collection de flow réseaux.
Pour les logs la plupart des équipements ne savent encore que parler
syslog, mais ce n'est pas le problème. Ensuite tu dois choisir une
solution pour ingérer, découper, classer, stocker et exploiter ces logs.
Coté stockage en open source Elasticsearch est omniprésent pour le
stockage des logs (ce qui peut faire sens, vu qu'il s'agit souvent de
stocker des documents textes indexés et de faire des recherches). Ce
n'est clairement pas le plus performant mais c'est un standard connu.
Ensuite vient le choix de l'ingestion et de l'interface de visualisation.
La stack E(L|F)K est la plus présente, mais à titre personnel ce n'est
pas ma préféré (n'étant pas un grand fan de Kibana, ni de logstash, ni
de Fluent). Pour un usage modéré j'ai plutôt de bon souvenir de graylog.
A noter qu'il existe des alternatives plus jeune mais prometteuses (voir
Loki de la cncf). Ensuite Splunk très bien, mais cher.
Pour les flows je dirais que c'est encore plus ouvert. J'ai
personnellement mis en place beaucoup de solutions autour de pmacct >
message broker > agrégateur > tsdb (ou base rapide) homemade. C'est un
peu de travail à mettre en place néanmoins.
Il existe beaucoup de solutions commerciales peu chère qui font le boulot.
--
Raphael Mazelier
On 28/04/2020 11:38, Christian d'Autume wrote:
Bonjour la liste,
On lance des réflexions chez nous pour refondre notre stack de
centralisation de logs (type syslog, voir netflow); et regardons un
peu ce qui se fait principalement en opensource.
Vous auriez des retours d'expériences sur des appliances types elk /
splunk, pour un parc hétérogène (~700 équipements: nxos, ftd, ios,
asa, juniper ...) ?
En vous remerciant d'avance pour vos retours.
Christian
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
