Splunkへのログイン、またはログアウトを行ったユーザーを管理者が特定する方法

公開日
2017-04-06
最終更新日
2017-04-06
バージョン
Splunk Enterprise 6.5.2
概要
Splunkへのログイン、またはログアウトを行ったユーザーを管理者が特定する方法
参考情報
内容

ログイン/ログアウト時に出力される内部ログについて

ユーザーがSplunkにログイン、またはSplunkからログアウトすると、Splunkの内部ログにデータが書きこまれます。

Splunkでは自身の内部ログを、取り込んだデータと同様にSplunkにて検索できるため以下の検索をすることで、ユーザーのログイン/ログアウト状況を把握することが出来ます。

ログイン/ログアウト時に出力されるログを検索する検索文

○ログイン

以下の検索文にて、ログインした際に出力されるログを検索することが出来ます。

index="_audit" action=log* action="login attempt"

【サンプルログ】
Audit:[timestamp=03-30-2017 17:01:38.600, user=admin, action=login attempt, info=succeeded src=xxx.xxx.xxx.xxx][n/a]

○ログアウト

Splunkから"ログアウト"を選択してログアウトした際に出力されるログは以下の検索文にて検索することができます。

index=_internal sourcetype=splunk_web_service user=* action=logout

【サンプルログ】
2017-03-30 18:44:14,935 INFO[58dcd36ee97fe5f65de290] account:517 - user=admin action=logout status=success
reason=user-initiated useragent=xxx clientip=xxx.xxx.xxx.xxx session=xxx

※注意
ブラウザを閉じてSplunkとのセッションを切断した場合にはログアウトログは出力されません。

以上