我在本地 Linux OS 机器上安装了一个 Splunk 实例版本 9.2.0.1(在 Windows OS 上是通过 WSL 安装的)。前几天,我查看了 $SPLUNK_HOME/etc/login-info.cfg 下的文件(在我的情况下,$SPLUNK_HOME 是 /opt/splunk),它似乎是关于在 Splunk 平台上登录的配置文件。
这是当前的内容:
[admin]
loginAttempts = 0
lastFailedLoginTimestamp = 0.000000
lastSuccessLoginTimestamp = 1723726648.074067
firstFailedLoginTimestamp = 0.000000
我的具体问题是:
这些字段到底是什么意思?似乎没有任何文档说明这一点,这就是我写 Stack Overflow 帖子的原因
该文件的结构是什么?我假设每个用户都有一个单独的节,每个节都以用户名开头,并用方括号括起来,但我不确定,因为缺乏有关此主题的文档。
我做了一些实验,看看这个文件是否以及如何更改。我尝试成功登录,注意到字段 lastSuccessLoginTimestamp 的值随之更改(我猜这是以秒为单位表示的 UNIX 纪元时间)。我甚至故意尝试登录失败。我预计其他字段(loginAttempts、lastFailedLoginTimestamp 和 firstFailedLoginTimestamp)的值会发生变化,但什么也没发生。
无论如何,我不希望配置文件在某些事件发生后发生变化(在本例中,是成功登录)。相反,这是日志文件的行为,应用程序在其中写入正在发生的事件。我认为 .cfg 扩展名具有误导性,但那是另一回事。
您对这个文件很有直觉。它用于跟踪用户的登录尝试,每个用户都在一个单独的节中。这些尝试也会记录到 audit.log 中。
我不知道为什么您在登录尝试失败后没有看到变化。也许这与系统设置有关 - 您是否在多次尝试失败后锁定用户?如果没有,那么我可以看到 Splunk 没有跟踪该数字。