Splunk vs ELK

Splunk es una solución comercial orientada a Operational Intelligence mientras que ELK es
un compendio de productos a integrar para orientados a centralizar logs.

Las principales diferencias entre ellos son:

Splunk ELK
Plataforma Splunk es un único producto ELK es una composición de
que incluye todas las varios productos
capacidades Enterprise independientes que hay que
Un único fabricante que integrar
respalda la solución.
Tecnología Splunk utiliza de manera ELK tiene el enfoque
nativa y transparente para tradicional de parseo en la
el usuario Map Reduce. escritura (agrega
Además el esquema al vuelo información al log usuario,
simplifica y reduce los origen, Geoip) por lo que
tiempos de integración y requiere un esfuerzo mucho
análisis de datos.El dato es mayor a la hora de integrar
comprimido al 50% en el fuentes de datos. Esto
indexado. multiplica por 2-3 el tamaño
del dato.
costos de hardware Splunk está optimizado para Típicamente el coste de HW
la reducción de costes de para el mismo volumen, es
HW (o Cloud) por reducir del doble al triple en ELK
almacenamiento por incrementar el tamaño
de cada log.
Implantación Splunk es una plataforma En ELK hay que desarrollar
sobre la que se construye por que el tiempo de
sin necesidad de desarrollo. implantación se múltiplica
El Time to Value es reducido exponencialmente y los
costes asociados.
Seguridad Splunk incluye múltiples Hay que integrar la
capacidades para la gestión seguridad de varios
de la seguridad (roles, productos distintos lo que
segmentación del acceso a dificulta la gestión de la
los datos, integración con seguridad. Brechas
ldap (directorio activo), seguridad, vulnerabilidad y
sso,…). Permite adicionar pérdida de datos
certificados de seguridad
para las URL
Escalabilidad Splunk está diseñado para ELK a partir de 100GB/Dia
escalar hasta Terabytes de presenta problemas de
datos por dia (implementa escalabilidad. Puede
 el algoritmo Map Reduce de requerir Logstash paralelos,
Google) Hadoop como Datastore
adicional, o múltiples
clusters y herramientas
personlizadas (Desarrollo)
Soporte fabricante y Splunk ofrece diferentes Elastic soporte con pago.
soporte local. planes de soporte anual. Tiene acceso a una
100% de Partners son comunidad (blogs) en la cual
certificados a nivel mundial realiza las consultas.
Desarrollo y evolución Como empresa comercial de Desarrollos a cargo de la
tecnología ha desarrollado comunidad
una solución estable
durante más de 15 años
Funcionalidades Splunk dispone de multitud Funcionalidades en
de funcionalidades no diferentes componentes
presentes en ELK (KVStore, que se deben agregar y
Data Models, Pivot, …). desarrollar en la
Splunk dispone de Apps implementación.
nativas para IOs y Android No soporta sub-búsquedas
Requiere ingenieros
calificados para búsquedas
personalizadas y
dashboards
Alta complejidad multi site
Alertas Splunk dispone de serie un En ELK se necesita instalar
sistema de alertas que otro modulo adicional (X-
permite enviar emails, pack) para poder enviar
ejecutar scripts e integrarse alertas. Costo:
con herramientas de U$5.500/nodo x año.
terceros (salesforce,
twilio,…)
Agentes Splunk dispone de agentes No tienen agentes para AIX,
para: Linux, Windows, Solaris, ZLinux, …
Solaris, AIX, MacOs, ZLinux, Logstash requiere multiples
FreeBSD y HP-UX Plugins para Input,
procesamiento y Output de
data
Apps Splunk dispone de más de ELK dispone de unas
1800 apps para ampliar y decenas de apps.
extender las capacidades de
Splunk.
Costo Requiere de 5 a 10 veces la
cantidad de servidores que
Splunk. Especialmente
costoso en Cloud.