ログイン/ログアウト時に出力される内部ログについて

ユーザーがSplunkにログイン、またはSplunkからログアウトすると、Splunkの内部ログにデータが書きこまれます。

Splunkでは自身の内部ログを、取り込んだデータと同様にSplunkにて検索できるため以下の検索をすることで、ユーザーのログイン/ログアウト状況を把握することが出来ます。

ログイン/ログアウト時に出力されるログを検索する検索文

○ログイン

以下の検索文にて、ログインした際に出力されるログを検索することが出来ます。

index="_audit" action=log* action="login attempt"

【サンプルログ】
Audit:[timestamp=02-20-2023 14:41:59.309, user=admin, action=login attempt, info=succeeded reason=user-initiated useragent=xxxxxxx clientip=xx.xxx.xx.xxx method=Splunk session=xxxxxxxxxxx]

○ログアウト

Splunkから“ログアウト”を選択してログアウトした際に出力されるログは、以下の検索文にて検索することができます。

index="_audit" action=log* action="logout"

【サンプルログ】
Audit:[timestamp=02-20-2023 14:43:07.949, user=admin, action=logout, info=succeeded reason=user-initiated useragent=xxxxxxx clientip=xx.xxx.xx.xxx session=xxxxxxxxxxx]

※注意
ブラウザを閉じてSplunkとのセッションを切断した場合には、ログアウトログは出力されません。