見出し画像

Falcoの evt.time.s と evt.datetime.s の違いとは?

システムの監視やセキュリティを考えるとき、ログの「時間」が重要なポイントになることは言うまでもありません。でも、Falcoでログを確認すると、evt.time.s と evt.datetime.s という2種類の時間表記があることに気づくかもしれません。「どっちを使えばいいの?」と迷ったことはありませんか?

今回は、それぞれの違いと使いどころについて、日常の例えを交えながら整理していきます!


evt.time.s は「ストップウォッチ」

evt.time.s は エポックタイム(UNIX時間) で表されます。これは、1970年1月1日 00:00:00 UTC からの経過秒数を示す数値です。例えば、1700000000 という値があったとすると、それは「1970年1月1日から1700000000秒後」の時刻を意味します。

これはちょうど ストップウォッチ みたいなもの。
「イベントが発生した時刻」を 機械が計算しやすい形 で記録するのに適しています。

例えば、ログの時間を date コマンドで変換することも可能です。

date -d @1700000000

これを実行すると、人間が読める形式の日時に変換されます。


evt.datetime.s は「カレンダー」

一方、evt.datetime.s は 人間が読みやすい日付時刻のフォーマット です。例えば、

2025-01-30 12:34:56

のように表示されます。

こちらは、まさに カレンダー のようなもの。
「いつ何が起こったのか」を 直感的に理解しやすい形 で記録するのに向いています。


どちらを使うべき?

それぞれの特性を考えると、使いどころも自然と決まってきます。

(1) 機械的な処理をするなら evt.time.s

  • 数値型なので、時間の差分を計算したり、時系列データを扱うのに適しています。

  • たとえば、「過去5分間のログを取得する」ような操作をするなら、evt.time.s を使うと便利。

(2) 目視でログを確認するなら evt.datetime.s

  • YYYY-MM-DD HH:MM:SS の形式なので、一目でいつの出来事かがわかります。

  • 「昨日の12時ごろに何が起こったのか」を調べるときには、こちらのほうが楽ですね。


まとめ

🔹 evt.time.s → ストップウォッチ的な数値形式(UNIX時間)
🔹 evt.datetime.s → カレンダー的な日付時刻フォーマット

「プログラムで時間を処理するなら evt.time.s、人間が読むなら evt.datetime.s」と覚えておけばOKです!

いいなと思ったら応援しよう!