Cisco wlcではクライアントのアソシエート（接続）や、リムーブ（切断）がsyslogではでず、trapでしか出せなかった。

MANAGEMENT->SNMP->Trap Controls->Clientで設定可能。

なので、SplunkでTrapを受け、検索対象にする。

そもそも、いつ、どのMAC、どのIP端末がどのSSIDに接続、切断したか？を知りたいのが目的でした。

米麹の検証日記 Splunk その10