Correlation Engine 处理事件的时序流,并检测事件中的模式以及流中的时态模式。但是,生成事件的设备有时可能不会在其日志讯息中包含时间。
要使用 Sentinel 正确配置时间,您有两个选择:
在 Collector Manager 上配置 NTP,并在事件源管理器中的事件源上取消选择信任事件源时间。Sentinel 使用 Collector Manager 作为事件的时间源。
选择事件源管理器中的事件源上信任事件源时间。Sentinel 使用日志讯息中的时间作为正确时间。
要在事件源上更改此设置,请执行以下操作:
登录到“事件源管理”。
有关详细信息,请参见 《 Sentinel 管理指南》
中的访问事件源管理。
右键单击您希望更改其时间设置的事件源,然后选择编辑。
在常规选项卡底部选择或取消选择信任事件源。
单击确定保存更改。