<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p><br>
    </p>
    <div class="moz-cite-prefix">On 8/09/2021 1:34 am, Sebastian Wagner
      wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:1d2f5a23-5ef6-49cd-9f90-d8cdae6f3009@cert.at">
      <blockquote type="cite"
        cite="mid:20210907.094028.1714939875838089049.moto@kawasaki3.org">
        <pre class="moz-quote-pre" wrap="">But don't we need to have a timestamp in the meta-data ?
I mean something like this;

{
    "format": "intelmq",
    "version": 1,
    "type": "event",
    "meta": {
        "intelmq:uuid": "<event-uuid-1>",
        "intelmq:uuid_org": "<org-uuid-1>",
        "intelmq:timestamp": "<creation time of this message>",  <== here
        :</pre>
      </blockquote>
      Every IntelMQ message should already have a <i>time.source</i>
      field in the payload, so I'm not sure if it's necessary to have it
      in the metadata as well explicitly. And that overlaps with the
      next topic:<br>
    </blockquote>
    <p>Not specifically for IntelMQ, but I tend to break an event
      message into at least three timestamps (but possibly more
      depending on event type):<br>
    </p>
    <p>* actual occurrence time of reported security event (time.source
      as I'd understand it)<br>
      * event package original creation time (the suggested
      meta.intelmq:timestamp here, which I'd possibly rename to
      meta.intelmq:creation_timestamp or similar)<br>
      * event package system ingestion time (time.observation?)</p>
    <p>Best regards,</p>
    <p>Chris<br>
    </p>
  </body>
</html>