Splunk Enterprise 7.1.2を導入、日本語環境で利用しています。
timechartコマンドを使用して折れ線グラフを視覚エフェクトで選択して表示した場合にログの_timeの時刻とグラフの時刻が異なります。
表示上はグラフの時間軸が-9hされています。
統計情報のタブを見ると_timeはログの時刻と合っているため、グラフ表示する際に不具合が生じているのでは?と思っています。
何か情報をご存じの方がいましたら教えてください。
以下のサーチでも簡単に確認できます。
index=_internal | timechart count by host
今のところユーザーのタイムゾーンを設定することで回避できています。
これはSplunk7.1.1もしくは7.1.2で仕様が変わったのでしょうか?
それともissue(バグ)でしょうか?
ご存じの方がいらっしゃいましたら教えて頂きたく。
ユーザのタイムゾーンは何を設定してますか?デフォルトのままであれば東京を設定して見て下さい。
申し訳ありません。
タイムゾーンの設定を行い、サーチ画面を開き直し・再度サーチ文を入力して実行したところ正常に表示されました。
検証不十分で申し訳ありません。
ご回答ありがとうございました。
こちらも少し間違っていました。今検証してみたところ抽出期間(サーチバーの下に表示される期間)もログの_timeも両方ずれていました。
回答ありがとうございます。
Splunkサーバ側のタイムゾーンは大阪、札幌、東京が選択されていました。
デフォルトに設定しても、上記タイムゾーンに設定しても発生します。
SplunkサーバのOSは大阪、札幌、東京です。
タイムゾーンの設定では直りませんでした。
Splunkサーバではなくて、Splunkユーザ(Splunkのビルトイン認証の場合)の設定にあるタイムゾーンです。
私の7.1.2環境では抽出期間と実際に抽出されたログの_timeが同じようになっていました。ユーザのタイムゾーンを大阪、札幌、東京に設定したら解消しました。