Hier ein Betrag aus dem Slack (von Hasitha Upekshitha) fürs Archiv:
Das Timestamp-Feld bezieht sich in der Regel auf den Zeitpunkt, an dem ein Ereignis vom Quellsystem erzeugt oder aufgezeichnet wurde (z. B. vom überwachten Endpunkt, einer Anwendung oder einem Gerät), bevor es von Wazuh verarbeitet wird. Dieses Feld wird oft direkt aus dem Log selbst entnommen, und zwar während der Pre-Decoding-Phase durch das Wazuh Logcollector-Modul.
Die Werte stammen also aus den ursprünglichen Roh-Logdaten, die vom Quellsystem bereitgestellt werden. Enthält ein Logeintrag beispielsweise einen Zeitstempel wie Oct 15 21:07:00 oder 2022-04-24T17:24:56.110+0000, extrahiert der Predecoder genau diese Angabe als timestamp-Feld.
Dieses Feld repräsentiert damit die tatsächliche Uhrzeit des Ereignisses, so wie sie vom Quellsystem oder Log gemeldet wurde.
Wazuh selbst erstellt zusätzlich ein @timestamp-Feld für Alarme, basierend auf dem Zeitpunkt, an dem diese Alarme an Wazuh weitergeleitet werden – unabhängig vom Zeitstempel, der in den Logs enthalten ist.
Das @timestamp-Feld wird in der Ingest-Pipeline für Alarme und Archive durch das Wazuh-Modul für Filebeat ergänzt. Bei Alarmen ist dieses Feld standardmäßig so definiert, dass es denselben Wert enthält wie das timestamp-Feld. Die genaue Implementierung ist in der Pipeline des Wazuh-Moduls hinterlegt.