In einer verteilten Umgebung kann die Berücksichtigung der Zeitzonen sehr komplex werden. Beispielsweise können sich die Ereignisquelle, der Collector Manager, der Backend-Sentinel-Server und der Client, auf dem die Daten angezeigt werden, in jeweils unterschiedlichen Zeitzonen befinden. Zusätzliche Aspekte wie die Sommerzeit oder Ereignisquellen, die nicht melden, auf welche Zeitzone sie festgelegt sind (z. B. alle Syslog-Quellen), führen zu einer Vielzahl möglicher Probleme, die zu bewältigen sind. Sentinel bietet flexible Lösungen, damit Sie stets korrekt darstellen können, wann ein Ereignis aufgetreten ist, und diese Ereignisse mit Ereignissen von anderen Quellen in der gleichen oder in unterschiedlichen Zeitzonen vergleichen können.
Im Allgemeinen gibt es drei verschiedene Möglichkeiten, wie Ereignisquellen die Zeitstempel melden:
Die Ereignisquelle meldet die Uhrzeit als koordinierte Weltzeit (UTC). Beispielsweise werden alle Standardereignisse des Windows-Ereignisprotokolls mit der UTC-Zeit gemeldet.
Die Ereignisquelle meldet die örtliche Zeit und schließt dabei stets die Zeitzone in den Zeitstempel ein. Beispielsweise schließen Ereignisquellen, die für die Strukturierung des Zeitstempels RFC 3339 befolgen, die Zeitzone als Abweichung ein; andere Quellen verwenden lange Zeitzonen-IDs wie „Americas/New York“ oder kurze IDs wie „EST“. Dies kann aufgrund von Konflikten und unangemessenen Auflösungen zu Problemen führen.
Die Ereignisquelle berichtet die Ortszeit, gibt jedoch keine Zeitzone an. Unglücklicherweise nutzt das sehr weit verbreitete Syslog-Format dieses Modell.
Im ersten Fall kann stets die UTC-Zeit errechnet werden, zu der das Ereignis aufgetreten ist (sofern ein Zeitsynchronisierungsprotokoll verwendet wird). Die Ereigniszeit kann daher sehr einfach mit anderen Ereignisquellen an einem beliebigen Standort verglichen werden. Die Ortszeit, zu der das Ereignis aufgetreten ist, kann jedoch nicht automatisch ermittelt werden. Aus diesem Grund kann die Zeitzone einer Ereignisquelle in Sentinel manuell festgelegt werden, indem der Ereignisquellenknoten im Ereignisquellen-Manager bearbeitet und die entsprechende Zeitzone angegeben wird. Diese Angabe hat keinen Einfluss auf die Berechnung der Parameter „DeviceEventTime“ und „EventTime“. Sie wird lediglich im ObserverTZ-Feld hinterlegt und zur Berechnung der verschiedenen ObserverTZ-Felder verwendet, z. B. „ObserverTZHour“. Diese Felder sind stets als Ortszeit ausgedrückt.
Wenn im zweiten Fall die Zeitzone im langen Format oder als Abweichung angegeben wird, kann die Zeit in UTC-Zeit umgerechnet werden (in „DeviceEventTime“ gespeichert). Sie können jedoch auch die Ortszeit für die ObserverTZ-Felder berechnen. Bei der Verwendung von kurzen Zeitzonen-IDs können gegebenenfalls Konflikte auftreten.
Beim dritten Szenario muss der Administrator die Ereignisquellenzeitzone manuell für alle betroffenen Quellen festlegen, damit Sentinel ordnungsgemäß die UTC-Zeit berechnen kann. Wird die Zeitzone nicht richtig durch Bearbeiten des Ereignisquellenknotens im Ereignisquellen-Manager festgelegt, ist möglicherweise die Geräteereigniszeit „DeviceEventTime“ (und ggf. die Ereigniszeit „EventTime“) falsch. Auch „ObserverTZ“ und die verbundenen Felder können in diesem Fall falsch sein.
Der Collector für eine bestimmte Ereignisquellenart (z. B. Microsoft Windows) verfügt üblicherweise über Informationen dazu, wie eine Ereignisquelle Zeitstempel darstellt, und nimmt die erforderlichen Anpassungen vor. Es empfiehlt sich, die Zeitzonen aller Ereignisquellenknoten im Ereignisquellen-Manager stets manuell festzulegen, es sei denn, Sie sind sich sicher, dass die Ereignisquelle in der Ortszeit berichtet und die Zeitzone immer in den Zeitstempel einschließt.
Die Ereignisquellendarstellung des Zeitstempels wird im Collector und im Collector Manager verarbeitet. Die Geräteereigniszeit „DeviceEventTime“ und die Ereigniszeit „EventTime“ werden im UTC-Format gespeichert. Die ObserverTZ-Felder werden als Zeichenkette gespeichert, deren Wert die Ortszeit der Ereignisquelle darstellt. Diese Informationen werden vom Collector Manager an den Sentinel-Server gesendet und im Ereignisspeicher gespeichert. Die Zeitzonen des Collector Managers und des Sentinel-Servers dürfen diesen Vorgang und die gespeicherten Daten nicht beeinflussen. Wenn das Ereignis jedoch auf einem Client im Webbrowser angezeigt wird, wird die UTC-Ereigniszeit gemäß dem Webbrowser in die Ortszeit umgewandelt, sodass alle Ereignisse in der Ortszeit des Clients dargestellt werden. Über die Details in den ObserverTZ-Feldern kann der Benutzer die Ortszeit der Quelle anzeigen.