Note di rilascio › Problemi noti › Associazione di eventi › Elaborazione anomala dei campi ora nel test della regola di correlazione

Elaborazione anomala dei campi ora nel test della regola di correlazione

Sintomo:

In determinate circostanze, il test delle regole di correlazione restituisce risultati diversi dalla correlazione in tempo reale. Questo errore si verifica nelle seguenti condizioni:

• Il filtro della regola include un campo di ora derivato, ad esempio event_time_hour
• L'evento viene generato al di fuori dal fuso orario del deposito eventi log di CA Enterprise Log Manager
• L'evento include un campo event_timezone che identifica il fuso orario di origine

In questo caso,il servizio del test della regola deriva i campi di ora evento mediante il fuso orario del deposito eventi di log, anziché utilizzare il fuso orario di origine dell'evento. Questa operazione potrebbe portare a un'identificazione incorretta della corrispondenza tra evento e condizioni della regola da parte della regola testata.

Soluzione:

Tale comportamento si verifica solamente durante il test di una regola. Nella correlazione in tempo reale, il servizio utilizza correttamente il fuso orario di origine dell'evento durante la derivazione dei campi ora.