在日志中的时间戳

创建策略规则时，还有一个选项在会话开始，会议结束，两人或没有登录会话。两个术语将显示在日志中容易混淆

• 会议开始时间-时间启动会话
• 接收时间-时间的日志处理器收到的日志信息

在下面的示例中，会话本身开始在会话开始时间： 21:21。生成时间是在
23:48 会话结束时记录器收到记录的会话信息, 并且接收时间是
日志记录时间戳.

登录会话开始时时, 的时间戳一起将更接近。

具体的计时器被资料如下：

• 开始时间: 会话开始时间 (DP)
• 已用时间: 这是自开始时间以来的会话工期 (以秒为单位). （由 DP 来衡量）
• 生成时间: 这是首次生成日志时. （对于交通开始日志，它将在会话开始。交通结束日志，它是开始时间 + 经过的时间。威胁日志，它是当锅检测到的威胁等。）(DP)
• 记录时间: 此日志由管理平面接收并写入数据库 (MP). DP 可以积累一个短暂的时期，以发送一批，所以从生成时间的小时间延迟就是可能的多个日志。
• 接收时间: 管理服务器为日志转发 (MP) 接收日志的时间. 它应遵循时间记录非常密切。此外，如果日志被转发到全景，全景到它的时间更新的接收时间。所以，基于延迟，从生成的时间的额外时间延迟是可能的。

此外，由于缺乏活动 （而不是鳍/RST) 超时将作为一个因素确定总，过去，等日志时间之间的差异中具有会话超时的会话。

在下面，3600 秒日志记录示例中设置空闲超时值：

会话启动: 22:12:04
日志生成: 00:56:40
运行时间: 6276

会话开始-日志生成 = 2 小时、44分钟、36秒 (9876 秒) 在
经过的时间和实际时间之间的差异: 3600 秒

根据这篇日志会话去空闲和 3600 秒后超时。所以当会话处于活动状态的时间是 6276 秒。当会话超时，生成日志。

注意: 如果防火墙失去了与全景的连接, 或者如果全景服务器在一段时间内处于离线状态,
则可能会在生成时间和记录时间之间产生时差. 如果在1pm 上记录了一些内容,
例如在防火墙上, 但全景服务器在2pm 时重新联机, 则日志将显示
1pm 的生成时间, 但记录的时间将是 2pm.

所有者︰ panagent