Splunk 사용자가 ELK 도입시 검토해야할 사항들

Splunk를 사용하다가 ELK로 넘어가려고 하는 사이트가 많이 있습니다.

이때 고려해야할 사항으로 몇가지 정리해봤습니다.

Type 1 : 유료 구매일 경우

  • Kibana에서 drill down이 안되는 문제 때문에 단순한 정보만 확인 가능합니다.
  • 최소 복제본 3개를 필요하기 때문에 Splunk 대비 디스크 공간을 많이 사용합니다.
  • 인덱스 템플릿을 제대로 정리하지 않으면 디스크 공간을 너무 많이 낭비하게 됩니다.
  • 노드당 라이센스 비용이 발생하기 때문에 Splunk 대비 많이 저렴하지 않습니다.

 

Type 2 : 무료 사용일 경우

  • Type1 항목 모두 포함됩니다.
  • ML 지원이 안되기 때문에 이상치 탐지를 할수 없습니다.
  • Alert가 지원되지 않기 때문에 탐지된 결과를 받을 수 없습니다.(개발을 하면 되지만, 조직내 개발자가 없으면 이것도 힘듭니다.)
  • 매크로 지원하지 않음
  • 장애 발생시 지원받을 수 없습니다.

 

최근에 Kibana에서 drill down이 지원한다고 하지만, 정확히 확인해봐야겠네요.