Log ou métrique ? Pour transformer les logs en métriques, logstash et surement le plus flexible. Mais ça bouffe masse CPU.
Pour netflow sur étagère : https://github.com/robcowart/elastiflow mais attention, si tu a 700 routeur/sw tu ne pourra pas avoir une grosse rétention ou alors va falloir sortir le gros gros cluster de bécanes. Sachant d'ES ne sais pas tirer partie de bécanes avec +64Go de RAM (JVM heap toussa) t'es parti sur au moins 5/7 bécanes OpenNMS refond sa stack petit à petit, et a pondu newts pour les métriques : http://opennms.github.io/newts/ malheureusement pas eu le temps de testé mais basé sur cassandra, donc forcement avec une base "rock solid". Si des gens ont des retours ça m'intéresse. Pour ta volumétrie j'ai peur qu'InfluxDB soit incapable de faire quoi que ce soit (les mauvaises langue diront qu'il est incapable de base). https://thanos.io/ est à essayer (prometheus avec stockage long terme dans de l'object storage, par exemple dans minio). mais ça demande de setup des exporter et d'en écrire si t'a pas ce que tu veux (c'est en Go). Changement de paradigme, bref, le changement est pas que technique. côté visu Grafana reste le maitre incontesté car tu peux aggréger différentes métriques qui viennent de différentes sources et les corréler (du SQL d'une DB cliente quelconque avec ton monitoring par exemple) J'ai tendance à déconseiller les bon vieux nagios/observium/librenms/monit qui fonctionne mais scale mal et qui stocke les métriques dans RRD ce qui rend la corrélation au mieux très pénible, au pire impossible. Sans parler des setup HA à base de *** infame comme corosync ou NFS.. Cordialement/Best Regards, Rémi Desgrange On Apr 28 2020, at 11:38 am, Christian d'Autume <christ...@dautume.fr> wrote: > Bonjour la liste, On lance des réflexions chez nous pour refondre notre stack > de centralisation de logs (type syslog, voir netflow); et regardons un peu ce > qui se fait principalement en opensource. Vous auriez des retours > d'expériences sur des appliances types elk / splunk, pour un parc hétérogène > (~700 équipements: nxos, ftd, ios, asa, juniper ...) ? En vous remerciant > d'avance pour vos retours. Christian --------------------------- Liste de > diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
