Ce comportement est par conception et a été considéré comme une partie normale de l’opération de produit.
Par exemple, l’utilisateur a possède un fuseau horaire local de GMT-7. L’utilisateur B possède un fuseau horaire local de GMT-5. Ils chargent tous deux le tableau de bord et définissent une période de 12 à 13:00:00. La requête exécutée présente une différence de temps de deux heures entre chaque utilisateur. par conséquent, elle renvoie des résultats différents.
En interne, toutes les heures d’événement sont enregistrées au format heure UTC. Lorsqu’un utilisateur spécifie une période pour un tableau de bord ou une requête, le système utilise le fuseau horaire local configuré pour cet utilisateur. Elle décale la plage de dates et d’heures utilisée par la requête de sorte que les résultats soient donnés en heure locale. Par conséquent, midi à 1 h pour deux utilisateurs distants de deux fuseaux horaires dépassent deux périodes de deux heures distinctes.
Si vous souhaitez obtenir des résultats identiques entre deux utilisateurs différents dans ce cas de figure, vous devez définir les utilisateurs sur le même fuseau horaire. Dans le cas contraire, un utilisateur doit décaler manuellement la plage de dates et d’heures de ses requêtes pour qu’elles correspondent.
Le décalage horaire est configuré dans le profil utilisateur. Cliquez sur le nom d’utilisateur en haut à droite du tableau de bord SIEM et ajustez le décalage de fuseau horaire. Cela ne modifie pas le fuseau horaire des sources de données ni le SIEM lui-même. Il s’agit uniquement d’une modification cosmétique au niveau local de cet utilisateur particulier.
Examinez les autorisations de l’utilisateur (dans les propriétés ESM, les utilisateurs et les groupes) lorsque les conditions suivantes sont réunies :
- Les utilisateurs utilisent le même fuseau horaire.
- Les tableaux de bord utilisent la même période de temps.
- Les résultats sont toujours différents entre les utilisateurs.