หายไปนาน จริง ๆ ไม่ได้หายไปไหน แค่ไม่ได้เข้ามาเขียนเอง
ใช้ Splunk มาพักนึงแล้ว ติดใจกับระบบการทำงานของมัน ซึ่งต่อไป อาจจะเขียนถึงมากกว่านี้
ปัญหาอย่างหนึ่งที่เกิดขึ้น หลังจากที่เราเริ่มใช้ Splunk ในการเก็บ Log คือ เวลาของ Splunk กับเวลาของ Log ไม่ตรงกัน ทำให้บางครั้งเวลาเรา search แล้ว ไม่ได้ผลลัพธ์อย่างที่เราต้องการ พอเราดูเวลาที่แสดงผลก็พบว่า Timezone ของ Splunk ไม่ใช่เวลาในประเทศไทยไปซะนี่
การเปลี่ยน timezone ทำไม่ยาก แค่ทำตามลำดับด้านล่าง รับรองใช้ได้
1. Remote Logon ผ่าน SSH หรือ จะ login ผ่านหน้า Console ก็ได้ เข้าไปที่ Splunk Server
2. เข้าไปแก้ไขไฟล์ที่ชื่อว่า /opt/splunk/etc/system/local/props.conf
3. เพิ่มบรรทัดเหล่านี้ลงไปต่อท้าย
[host::nyc*]
TZ=ICT-7
4. อันนี้แสดงเวลาในประเทศไทย ถ้าเป็นประเทศอื่น ๆ ต้องเปลี่ยนค่า TZ ใหม่นะจ๊ะ
5. จากนั้นให้เซฟไฟล์ แล้วก็รีสตาร์ท Splunk server ใหม่อีกที
ุ6. เสร็จแล้ว
ถ้าต้องการเปลี่ยนไปใช้ timezone ที่ไม่ใช่ประเทศไทย เช่นใครบางคนอาจจะใช้งานที่ต่างประเทศ ให้ไปหาค่าของ TZ ได้ที่ /usr/share/zoneinfo แล้วเลือกไปยังเมืองที่ตัวเองอยู่นะ
จบแล้ว
ที่มา http://www.splunk.com/base/Documentation/2.2/Admin/ConfigureTimeZoneOffsets
