„Mysteriöse Sache die Zeit, nicht wahr? Sehr mächtig. Und wenn man sie manipuliert, gefährlich.“ - Albus Dumbledore, JK Rowling
Im Folgenden sprechen wir über einige manchmal verwirrende Eigenarten der grafischen Oberfläche von Splunk in Zusammenhang mit dem Zeitmanagement (Datum und Uhrzeit, Zeitstempelung, timestamp, _time). Denn... es ist besser, wenn man zur richtigen Zeit Bescheid weiß.
Welches Datumsformat zieht ihr vor: „TT/MM/JJJJ“ oder
„MM/TT/JJ “?
Wenn euer Internet-Browser auf Deutsch konfiguriert ist, erfolgt jeder Anschluss an einem Splunk-Search Head unter automatischem Hinzufügen von de-DE nach der URL (universelle Syntax des Landes und der Sprache). Eure Splunk-Oberfläche erscheint daher auf Deutsch.
Sollte euer Betriebssystem auf Englisch eingestellt sein oder falls euer Browser auf Englisch konfiguriert ist, erhaltet ihr überraschenderweise die Splunk-Oberfläche in amerikanischem Englisch (en-US) oder in britischem Englisch (en-GB).
Allerdings ist es kein Problem, die Sprache zu wechseln, denn es reicht, die URL zu ändern und die Benutzeroberfläche zu aktualisieren. Ihr könnt auch auf Französisch, Italienisch, Japanisch, Koreanisch usw. arbeiten.
Die Änderung der Sprache bewirkt auch eine Änderung des Formats für Datum und Uhrzeit. Hier geht es um die Spalte „Time“ oder „Uhrzeit“ innerhalb der Anzeige der Ereignisse, nicht um das Feld „_time“.
Der 5. September 2020 um 09:56 morgens wird gemäß den unterschiedlichen Formaten wie folgt angezeigt:
en-US 9/5/20 9:56:57.000 AM
en-GB 05/09/2020 09:56:25.000
de-DE 05/09/2020 09:56:25,000
Wie ihr seht, liegt für die Benutzeroberfläche auf Deutsch oder in britischem Englisch dasselbe Format vor:
„TT/MM/JJJJ HH:MM:SS“ (mit einem kleinen Unterschied beim Punkt oder Komma zwischen den Sekunden und tausendstel Sekunden). Dieses Format wird auch „europäisches“ Format genannt.
Wenn ihr Englisch in eurer Benutzeroberfläche auswählt, könnt ihr dasselbe Format wie auf Deutsch verwenden und solltet euch daher in diesem Fall am besten für en-GB statt en-US entscheiden.
Zeitzone und Anzeige der Uhrzeit
Jeder Benutzer der Oberfläche kann in seinen Benutzereinstellungen die Zeitzone, aus der er die Daten beobachtet, auswählen.
Nehmen wir an, die analysierten Daten wurden in derselben Zeitzone erzeugt und indexiert wie der Search Head, und dass dies den Benutzereinstellungen des Beobachters entspricht. Man erwartet, dass ein mit einem Zeitstempel versehenes Ereignis die genaue Zeit in der Registerkarte Ereignisse anzeigt.
Ein Data access_combined_wcookie eines Apache-Servers würde zum Beispiel wie folgt beginnen: 217.132.169.69 - - [14/Sep/2020:16:23:24] …
Die Spalte „Uhrzeit“ der Registerkarte „Ereignis“ in de-DE würde daher Folgendes angeben:
14/09/2020 16:23:24,000
Befindet sich der Benutzer jedoch an der Ostküste der Vereinigten Staaten, während die Daten von GMT+1 kommen, hat er seine Benutzereinstellungen auf GMT-05:00 geändert, was einem Unterschied von 6 Stunden entspricht.
Die Oberfläche de-DE würde dasselbe Ereignis in der Spalte „Uhrzeit“ wie folgt darstellen:
14/09/2020 10:23:24,000
Nimmt man zum Beispiel ein Ereignis, das in Berlin um 16:23 aufgetreten ist, so sieht der Benutzer in New York, dass das Ereignis für ihn um 10:23 stattgefunden hat. Die Anzeige bleibt daher kohärent.
Ich höre gelegentlich die Frage: „Sollte von den Benutzern verlangt werden, in der gleichen Zeitzone wie die Daten zu arbeiten?“
Natürlich nicht. Man muss sie jedoch über diese Zeitunterschiede informieren, damit sie bestimmte Ereignisse mit einem Benutzer in einer anderen Zeitzone besprechen können.
Ich höre auch: „Kann dies die Anzeige in Grafiken stören?“
Hier sind in der Tat bestimmte Vorsichtsmaßnahmen zu treffen.
Welcher Unterschied besteht in einer timechart zwischen span=1d und span=24h?
Der Befehl timechart erlaubt das Gruppieren der Daten in einer chronologischen Abfolge. Man kann die Größe der Perioden anhand der Option span in dem Suchstring forcieren.
Hier kann man sich nun die Frage stellen, ob die Gruppierung nach Perioden von 24 Stunden statt nach einem Tag vorgenommen werden sollte.
Beispiel:
index=network | timechart span=24h count index=network | timechart span=1d count
a) Falls sich der Beobachter in derselben Zeitzone befindet wie der Server Search Head, ergeben die beiden Parameter genau dasselbe Resultat.
b) In Kolumbien, mit einem Zeitunterschied von 7 Stunden im Vergleich zu den Daten, zeigt span=24h die lokale Uhrzeit an, wenn es für die Daten Mitternacht ist (das heißt hier am Vortag um 17:00, für Bogotá).
c) span=1d betrachtet Mitternacht lokal, zeigt keinen Unterschied in dem Feld _time, zeigt aber unterschiedliche Werte, weil sie zeitlich versetzt sind.
Je nachdem, ob ihr die Uhrzeit der Daten oder eure Zeitzone für die Tagesgrenze anpassen möchtet, verwendet ihr span=24h oder span=1d.
Und jetzt?
Auf jeden Fall solltet ihr im Auge behalten, dass euch der Splunk Education Service für zusätzliche Fragen gern zur Verfügung steht und euch während eurer Lernphase mit Splunk ständig begleitet.
Falls ihr keine Möglichkeit zur Datengenerierung haben solltet, könnt ihr für Übungszwecke die Daten des Splunk-Tutorials verwenden, die mit denjenigen der Grundkurse identisch sind.
Und solltet ihr die geläufigen Ausdrücke, die für jeden Splunk-Administrator unerlässlich sind, noch nicht beherrschen, findet ihr zahlreiche unabhängige Websites, die Schulungen und Tutorials anbieten:
Zum Lernen: https://regexone.com/
Zum Testen: https://regex101.com/
Kreuzworträtsel in Regex : https://regexcrossword.com/
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Les pièges du temps dans Splunk : les fuseaux horaires.
