As I am aware, Bro has steadily moved toward a multi-threaded approach to logging at the least. For an analyzer that I&#39;ve been developing as part of my research, I am curious to know if network_time remains coherent with the network time given in pcap files and live capture. If not, is there a more accurate variable available?<div>
<br></div><div>Of note: I&#39;ve never really observed a discrepancy between the pcap files and reported network time through the event system. Gilbert Clark and I had a small discussion on this and I feel that from what I&#39;ve seen in the source code, network_time is likely fine, but I thought I&#39;d get the answer from the folk who know the source quite a bit better than I do.</div>
<div><br></div><div>Best,<br clear="all"><div><br></div>-- <br><div>James Swaro<b><br></b></div><div>Internetworking Research Group<br>Ohio University</div><div><br></div><br>
</div>