Audit

splunkの_auditログはactionフィールドを確認することで分類できる。

search

サーチに関するログ
user : 実行ユーザ
savedsearch_name : savedsearches.confに設定されているサーチはスタンザ名が記載される。
　　　　　　　　　　ダッシュボード上で用いるbaseSearchはbaseSearch名が記載される。
search : 実行されたサーチ。
search_id : サーチID。サブサーチの場合、subsearch_<元のサーチID>のような値をとる。
search_et : 検索期間の最も早い時間
search_lt : 検索期間の最も遅い時間
total_run_time : サーチの処理時間
exec_time : サーチの実行時間
is_realtime : リアルタイムサーチであるか否か
result_count : サーチの結果数

---

splunkStarting

Splunkの起動時に発生するログ。

---

splunkShuttingDown

Splunkの停止時に発生するログ。

---