Esse comportamento é próprio do projeto e é considerado uma parte normal da operação do produto.
Por exemplo, o usuário A tem um fuso horário local de GMT-7. O usuário B tem um fuso horário local de GMT-5. Ambas carregam um dashboard e definem um período de 12:00 – 13:00. A consulta executada tem uma diferença de tempo de duas horas entre cada usuário e, por isso, retorna resultados diferentes.
Internamente, todos os horários dos eventos são gravados na hora UTC. Quando um usuário especifica um período de tempo para um dashboard ou consulta, o sistema usa o fuso horário local configurado para esse usuário. Ele desloca o intervalo de tempo e de data usado pela consulta para que os resultados sejam fornecidos na hora local. Portanto, o meio-dia de uma hora para dois usuários que são dois fusos horários separados mostra dois períodos diferentes de tempo entre duas horas.
Se você deseja resultados idênticos entre dois usuários diferentes nesse cenário, é necessário definir os usuários com o mesmo fuso horário. Caso contrário, um usuário deve compensar manualmente a hora e o intervalo de datas de suas consultas para que sejam correspondentes.
A diferença de fuso horário é configurada no perfil do usuário. Clique no nome do usuário na parte superior direita do SIEM dashboard e ajuste a diferença de fuso horário. Isso não altera o fuso horário de nenhuma origem de dados ou o próprio SIEM. Trata-se simplesmente de uma alteração superficial no nível local para esse usuário específico.
Examine as permissões de usuário (em Propriedades do ESM, usuários e grupos) quando o seguinte for verdadeiro:
- Os usuários estão usando o mesmo fuso horário.
- Os dashboards estão usando o mesmo período de tempo.
- Os resultados ainda são diferentes entre os usuários.