A titre personnel j’ai laissé tomber ELK. Il y avait à intervalle régulier des soucis et le support s’emmêlait lui même les pinceaux sur des soucis de cohérence des valeurs remontées.
J’utilise ntopng, il existe une version communautaire et la version payante la plus conséquente coûte 1000€. Le support est top et dispo via telegram. Ntopng sait aussi intégrer du SNMP ou du syslog. Dans le cas du syslog il démultiplexe les informations pour les organiser par émetteur. Jérôme. > Le 28 avr. 2020 à 23:12, Raphael Mazelier <r...@futomaki.net> a écrit : > > Bonsoir, > > Tu parles de deux choses complètement différentes : la centralisation de logs > d'équipements et la collection de flow réseaux. > > Pour les logs la plupart des équipements ne savent encore que parler syslog, > mais ce n'est pas le problème. Ensuite tu dois choisir une solution pour > ingérer, découper, classer, stocker et exploiter ces logs. > > Coté stockage en open source Elasticsearch est omniprésent pour le stockage > des logs (ce qui peut faire sens, vu qu'il s'agit souvent de stocker des > documents textes indexés et de faire des recherches). Ce n'est clairement pas > le plus performant mais c'est un standard connu. Ensuite vient le choix de > l'ingestion et de l'interface de visualisation. > > La stack E(L|F)K est la plus présente, mais à titre personnel ce n'est pas ma > préféré (n'étant pas un grand fan de Kibana, ni de logstash, ni de Fluent). > Pour un usage modéré j'ai plutôt de bon souvenir de graylog. A noter qu'il > existe des alternatives plus jeune mais prometteuses (voir Loki de la cncf). > Ensuite Splunk très bien, mais cher. > > Pour les flows je dirais que c'est encore plus ouvert. J'ai personnellement > mis en place beaucoup de solutions autour de pmacct > message broker > > agrégateur > tsdb (ou base rapide) homemade. C'est un peu de travail à mettre > en place néanmoins. > > Il existe beaucoup de solutions commerciales peu chère qui font le boulot. > > -- > Raphael Mazelier > >> On 28/04/2020 11:38, Christian d'Autume wrote: >> Bonjour la liste, >> >> >> On lance des réflexions chez nous pour refondre notre stack de >> centralisation de logs (type syslog, voir netflow); et regardons un peu ce >> qui se fait principalement en opensource. >> >> >> Vous auriez des retours d'expériences sur des appliances types elk / splunk, >> pour un parc hétérogène (~700 équipements: nxos, ftd, ios, asa, juniper ...) >> ? >> >> >> En vous remerciant d'avance pour vos retours. >> >> >> Christian >> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> https://nam10.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cc09a5e07c76a4f6bb12808d7ebb8dbe3%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637237051496875395&sdata=EmWuy4YzvVTxWCeLW7MYQdq8wsZWaNF3GSbW%2B6h%2B0og%3D&reserved=0 > > > --------------------------- > Liste de diffusion du FRnOG > https://nam10.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cc09a5e07c76a4f6bb12808d7ebb8dbe3%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637237051496875395&sdata=EmWuy4YzvVTxWCeLW7MYQdq8wsZWaNF3GSbW%2B6h%2B0og%3D&reserved=0 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
