Falcoの evt.time.s と evt.datetime.s の違いとは?
システムの監視やセキュリティを考えるとき、ログの「時間」が重要なポイントになることは言うまでもありません。でも、Falcoでログを確認すると、evt.time.s と evt.datetime.s という2種類の時間表記があることに気づくかもしれません。「どっちを使えばいいの?」と迷ったことはありませんか?
今回は、それぞれの違いと使いどころについて、日常の例えを交えながら整理していきます!
evt.time.s は「ストップウォッチ」
evt.time.s は エポックタイム(UNIX時間) で表されます。これは、1970年1月1日 00:00:00 UTC からの経過秒数を示す数値です。例えば、1700000000 という値があったとすると、それは「1970年1月1日から1700000000秒後」の時刻を意味します。
これはちょうど ストップウォッチ みたいなもの。
「イベントが発生した時刻」を 機械が計算しやすい形 で記録するのに適しています。
例えば、ログの時間を date コマンドで変換することも可能です。
date -d @1700000000
これを実行すると、人間が読める形式の日時に変換されます。
evt.datetime.s は「カレンダー」
一方、evt.datetime.s は 人間が読みやすい日付時刻のフォーマット です。例えば、
2025-01-30 12:34:56
のように表示されます。
こちらは、まさに カレンダー のようなもの。
「いつ何が起こったのか」を 直感的に理解しやすい形 で記録するのに向いています。
どちらを使うべき?
それぞれの特性を考えると、使いどころも自然と決まってきます。
(1) 機械的な処理をするなら evt.time.s
数値型なので、時間の差分を計算したり、時系列データを扱うのに適しています。
たとえば、「過去5分間のログを取得する」ような操作をするなら、evt.time.s を使うと便利。
(2) 目視でログを確認するなら evt.datetime.s
YYYY-MM-DD HH:MM:SS の形式なので、一目でいつの出来事かがわかります。
「昨日の12時ごろに何が起こったのか」を調べるときには、こちらのほうが楽ですね。
まとめ
🔹 evt.time.s → ストップウォッチ的な数値形式(UNIX時間)
🔹 evt.datetime.s → カレンダー的な日付時刻フォーマット
「プログラムで時間を処理するなら evt.time.s、人間が読むなら evt.datetime.s」と覚えておけばOKです!