Dashboards & Visualizations

Splunk Enterprise 7.1.2でtimechartの視覚エフェクトの_timeの時間が正しく表示されない(ログの時間と異なる)

cipherjake
Explorer

Splunk Enterprise 7.1.2を導入、日本語環境で利用しています。

timechartコマンドを使用して折れ線グラフを視覚エフェクトで選択して表示した場合にログの_timeの時刻とグラフの時刻が異なります。
表示上はグラフの時間軸が-9hされています。

統計情報のタブを見ると_timeはログの時刻と合っているため、グラフ表示する際に不具合が生じているのでは?と思っています。
何か情報をご存じの方がいましたら教えてください。

以下のサーチでも簡単に確認できます。

index=_internal | timechart count by host

0 Karma

cipherjake
Explorer

今のところユーザーのタイムゾーンを設定することで回避できています。
これはSplunk7.1.1もしくは7.1.2で仕様が変わったのでしょうか?
それともissue(バグ)でしょうか?

ご存じの方がいらっしゃいましたら教えて頂きたく。

0 Karma

HiroshiSatoh
Champion

ユーザのタイムゾーンは何を設定してますか?デフォルトのままであれば東京を設定して見て下さい。

0 Karma

cipherjake
Explorer

申し訳ありません。
タイムゾーンの設定を行い、サーチ画面を開き直し・再度サーチ文を入力して実行したところ正常に表示されました。
検証不十分で申し訳ありません。

ご回答ありがとうございました。

0 Karma

HiroshiSatoh
Champion

こちらも少し間違っていました。今検証してみたところ抽出期間(サーチバーの下に表示される期間)もログの_timeも両方ずれていました。

0 Karma

cipherjake
Explorer

回答ありがとうございます。
Splunkサーバ側のタイムゾーンは大阪、札幌、東京が選択されていました。
デフォルトに設定しても、上記タイムゾーンに設定しても発生します。

SplunkサーバのOSは大阪、札幌、東京です。

タイムゾーンの設定では直りませんでした。

0 Karma

HiroshiSatoh
Champion

Splunkサーバではなくて、Splunkユーザ(Splunkのビルトイン認証の場合)の設定にあるタイムゾーンです。
私の7.1.2環境では抽出期間と実際に抽出されたログの_timeが同じようになっていました。ユーザのタイムゾーンを大阪、札幌、東京に設定したら解消しました。

0 Karma
Get Updates on the Splunk Community!

Index This | I am a number, but when you add ‘G’ to me, I go away. What number am I?

March 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

What’s New in Splunk App for PCI Compliance 5.3.1?

The Splunk App for PCI Compliance allows customers to extend the power of their existing Splunk solution with ...

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...