Вы не сказали, как вы делаете аутентификацию, но я предполагаю, что у вас есть контроллер, который создает сеанс, когда пользователь входит в систему, и уничтожает его, когда он снова выходит из системы. Эти действия также могут добавлять и удалять (соответственно) запись из таблицы базы данных, чтобы вы могли отслеживать каждого пользователя.