Splunkへのログイン、またはログアウトを行ったユーザーを管理者が特定する方法
ログイン/ログアウト時に出力される内部ログについて ユーザーがSplunkにログイン、またはSplunkからログアウトすると、Splunkの内部ログにデータが書きこまれます。 Splunkでは自身の内部ログを、取り込んだデータと同様にSplunkにて検索できるため以下の検索をすることで、ユーザーのログイン/ログアウト状況を把握することが出来ます。 ログイン/ログアウト時に出力されるログを検索する検索文 ○ログイン 以下の検索文にて、ログインした際に出力されるログを検索することが出来ます。 【サンプルログ】 ○ログアウト Splunkから“ログアウト”を選択してログアウトした際に出力されるログは、以下の検索文にて検索することができます。 【サンプルログ】 ※注意 以上
index="_audit" action=log* action="login attempt"
Audit:[timestamp=02-20-2023 14:41:59.309, user=admin, action=login attempt, info=succeeded reason=user-initiated useragent=xxxxxxx clientip=xx.xxx.xx.xxx method=Splunk session=xxxxxxxxxxx]index="_audit" action=log* action="logout"
Audit:[timestamp=02-20-2023 14:43:07.949, user=admin, action=logout, info=succeeded reason=user-initiated useragent=xxxxxxx clientip=xx.xxx.xx.xxx session=xxxxxxxxxxx]
ブラウザを閉じてSplunkとのセッションを切断した場合には、ログアウトログは出力されません。
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
平日 9:00~17:00