为什么 Splunk 的客户不能同时实现可观测性和现代化

各地的企业都面临着一个充满挑战的环境：成本压力增加，同时还承受着复杂的分布式云原生环境产生的大量数据。在这样的情况下，团队就需要随时随地能够对其所有数据进行更智能的分析、访问和保留，从而解决问题、做出决策并确保弹性。

许多公司已经采用了 Splunk Enterprise，现在面临着选择，因为 Splunk 通过有不同定价模式的 Splunk Enterprise、Splunk Cloud 和 Splunk Observability 提供了碎片化的可观测性。 

而 Elastic 提供了一个快速、简单的解决方案，使公司能够适应未来的需求。借助 Elastic 可观测性，现代应用程序团队和运营团队发现了提升自由度、灵活性和生产效率的途径。下面谈谈原因。 

1.加快问题解决速度

简单、智能、整合式可观测性体验

一体化管理日志、指标和跟踪数据 

Elastic 可观测性是一套完整的解决方案，在一个全面整合的平台中提供集成的日志分析、应用程序性能监测 (APM)、指标和跟踪数据。这意味着您可以消除数据孤岛，从一个位置就能全面监测所有环境，无需附加产品或成本。

而使用 Splunk 的客户需要购买多达七个独立的产品（多个 Splunk 可观测性产品、Splunk Cloud 和 Splunk Enterprise）才能实现完整的可观测性功能，这将导致孤岛。

Machine Learning 不是附加产品

灵活且可定制的 Machine Learning (ML) 已经以原生方式内置在 Elastic 平台中，可以应用于任何类型的数据，无论是操作数据（指标、日志、跟踪数据）还是业务数据。这样一来，您就能够更早地识别出问题，防止问题发生。此外，日志分类和 APM 关联这样的现成可用功能可以快速地辅助进行根本原因分析，从而减少代价高昂的停机次数。 

对比之下，Splunk ML 工具包是一个附加应用程序，可能会给您的团队带来额外的工作，其中包括需要使用 SPL 编码模型。

普遍使用 Machine Learning 和分析 

Elastic 可观测性提供直观的拖放功能和基于向导的工作流，可以分析和可视化您的所有数据，并发现趋势。您不需要成为数据科学家就能创建和运行 ML 作业或查询。这种灵活性让任何用户都能够快速对数据进行透视分析和跨团队共享，从而实现从任何位置实时协作。

使用 Splunk 时，需要使用专门的语言，如使用 SPL 来构建可视化和仪表板。

2.管理业务，而不是管理数据

更快、更智能的数据访问和保留

在毫秒之间给您所需答案

Elastic 的实时搜索查询只需几毫秒，而非几秒；历史记录查询只需几分钟，而非几小时。数据分层适用于所有可观测性数据，为您的存储、搜索和分析方式提供了更大的灵活性。Elastic 的搜索、分析和 Machine Learning 可在所有数据层上高效运行。

使用 Splunk 时，访问历史数据的速度很慢。在搜索之前，必须先恢复 Splunk 冻结层中的数据，而用户可能需要等待长达 24 小时才能搜索到数据。如果您正面临着影响客户和收入的问题，这个等待时间就会产生严重的后果。Splunk Cloud 默认情况下也不允许实时查询，您需要创建支持工单才能进行实时查询。

始终收集所有内容

使用 Elastic，您能够在采集数据时收集所有的数据，并通过数据转换和采集管道来保留这些数据。在需求明确之前，您不需要确定相关数据的范围。（原因是，怎么能在当下就决定几年后的重要内容？）

Splunk 客户必须确定让哪些数据进入 Splunk，哪些数据就地丢弃。 这种方法可能会让人们不能关注潜在的重要事件。有一些客户会通过数据转换（丢弃原始数据，保留汇总数据）和数据管道来节省使用 Splunk 的成本。

简单透明、按资源使用量定价

Elastic 的整个平台以单个 SKU 销售，采用完全透明、按资源使用量计费的定价模式。这种简化的方法可以节省许可和基础架构的成本。而且按资源使用量定价实现了成本的可预测性，让您不必在长期数据保留方面做出妥协。

众所周知，市场上的 Splunk 使用成本很高，还有复杂的定价和许可结构，这可能会带来额外的基础架构成本。

详细了解 Splunk 与Elastic 的对比 >>

3.满足未来的云和现代化旅程需求

技术随需求进行扩展和调整

支持开放标准

开放、透明和协作是我们开展所有工作的核心所在。您可以免费开始使用，甚至可以免费构建自管型完整解决方案。（您知道吗，Elastic 的免费版本已被下载超过 36 亿次！） Elastic 是一款 API 优先的解决方案，支持开放标准和数据转换，这意味着我们可以随着您的需求进行扩展，适应不断变化的策略。

Splunk 的方法以专有技术为中心，可能会导致依赖于供应商。

面向未来复杂性的统一可见性 

您的环境只会变得更加复杂，这使得对一体化解决方案的需求更加强烈。Elastic 提供 200 多个集成，还提供了 Elastic Common Schema (ECS) 来无缝采集和处理来自任何来源的任何数据。统一代理使您能够灵活地根据自己的策略调整 Elastic，并根据需要进行扩展和转换。

这就不像 Splunk，您不必采用多种工具在混合和多云环境中获得这种级别的可见性。

可观测性 + 安全（仍是同一个 SKU）

由于 Elastic 的安全性和可观测性解决方案整合在一个平台、SKU 和数据存储上，您可以简化技术堆栈，促进工程团队、运营团队和安全团队之间更好的协作。您可以更快地进行根本原因分析、消除数据隔离并降低风险，这些优势最终可以降低整体业务风险。

为了确保安全，在使用 Splunk 时，除了需要可观测性，您还需要购买更多的产品。在您已经用于实现可观测性的好几项产品的基础上， 还需要购置 Splunk Enterprise Security 和 Splunk SOAR 产品。

为未来做好准备

使用 Elastic 管理日志，为未来做好更充足的准备。然后，着眼于一体化可观测性解决方案带来的长期优势，实现端到端可见性，缩短平均解决时间 (MTTR) 和降低总体拥有成本 (TCO)，满怀信心地迎接未来挑战。

如需了解详情，可以参加即将举办的释放日志数据的全部价值网络研讨会，或者下载 Elastic 可观测性电子书。