Par exemple, l’utilisateur a possède un fuseau horaire local de GMT-7. L’utilisateur B possède un fuseau horaire local de GMT-5. Ils chargent tous deux le tableau de bord et définissent une période de 12 à 13:00:00. La requête exécutée présente une différence de temps de deux heures entre chaque utilisateur et renvoie des résultats différents.

En interne, toutes les heures d’événement sont enregistrées au format heure UTC. Lorsqu’un utilisateur spécifie une période pour un tableau de bord ou une requête, le système utilise le fuseau horaire local configuré pour cet utilisateur. Elle décale la plage de dates et d’heures utilisée par la requête de sorte que les résultats soient donnés en heure locale. Et donc de 12:00 à 13 h. pour 2 utilisateurs distants de 2 fuseaux, deux fois plus de deux périodes de temps 2 heures distinctes.

Si des résultats identiques entre 2 utilisateurs différents sont souhaités, ils doivent être définis sur le même fuseau horaire. Dans le cas contraire, un utilisateur doit décaler manuellement la plage de dates et d’heures de ses requêtes pour qu’elles correspondent.

Le décalage horaire est configuré dans le profil utilisateur. Cliquez sur le nom d’utilisateur en haut à droite du tableau de bord SIEM et ajustez le décalage de fuseau horaire. Cela ne modifie pas le fuseau horaire des sources de données ni le SIEM lui-même. Il s’agit uniquement d’une modification cosmétique au niveau local de cet utilisateur particulier.

Examinez les autorisations de l’utilisateur (dans les propriétés ESM, les utilisateurs et les groupes) lorsque les conditions suivantes sont réunies :

• Les utilisateurs utilisent le même fuseau horaire.
• Les tableaux de bord utilisent la même période de temps.
• Les résultats sont toujours différents entre les utilisateurs.