Questo comportamento è in base alla progettazione e considerato una parte normale dell'operazione del prodotto.
Ad esempio, l'utente A ha un fuso orario locale di GMT-7. L'utente B ha un fuso orario locale di GMT-5. Entrambi caricano un dashboard e fissano un periodo di tempo di 12:00 – 13:00. Il query che viene eseguito ha una differenza di tempo di due ore tra ogni utente, pertanto restituisce risultati diversi.
Internamente, tutti gli orari degli eventi vengono registrati nell'ora UTC. Quando un utente specifica un periodo di tempo per un dashboard o query, il sistema utilizza il fuso orario locale configurato per tale utente. Compensa l'intervallo di tempo e data utilizzato dal query in modo che i risultati vengano dati nell'ora locale. Così, dalle 12 alle 1 p.m. per due utenti che sono due fusi orari separati, vengono visualizzati due diversi periodi di tempo separati da due ore.
Se in questo scenario si desiderano risultati identici tra due utenti diversi, è necessario impostare gli utenti sullo stesso fuso orario. In caso contrario, un utente deve compensare manualmente l'intervallo di tempo e data delle query in modo che risultino corrispondenti.
L'offset del fuso orario è configurato nel profilo utente. Fare clic sul nome utente in alto a destra di SIEM dashboard e regolare l'offset del fuso orario. In questo modo, il fuso orario di qualsiasi origine dati o SIEM non viene modificato. Si tratta di un cambiamento puramente cosmetico a livello locale a quel particolare utente.
Esaminare le autorizzazioni utente (in proprietà ESM, utenti e gruppi) quando si verifica quanto segue:
- Gli utenti utilizzano lo stesso fuso orario.
- Le dashboard utilizzano lo stesso periodo di tempo.
- I risultati sono ancora diversi tra gli utenti.