Начиная с https://software.sonicwall.com/Manual/232-001835-00_Rev_A_SonicOS_Log_Event_Reference_Guide.pdf, похоже, что сообщение для входа в систему администратора выглядит как «Вход администратора разрешен»
Так что в Splunk вам просто нужно найти следующее, чтобы получить всеevents
index=sonicwall "Administrator login allowed"
Вы также можете захотеть сбои входа администратора, которые называются «Вход администратора запрещен из-за неверных учетных данных»
Если вы хотите добавить это в отчет, то что-то вроде следующего должнодостаточно
index=sonicwall "Administrator login allowed" OR "Administrator login denied due to bad credentials" | eval type=if(match(_raw,"allowed"),"success","failure") | timechart count by type