Dann haben wir ja die selbe Vorstellung davon was passieren soll 
Damit wär für mich auch alles in Ordnung und so war es wohl auch bisher.
Ich versteh auch das es nicht der Norm entspricht ein Bug-Ticket beim Hersteller wird hier leider nicht viel ändern 
Allerdings wird mir in der EC bei “Time of last occurrance” und “Time of first occurrance” ein völlig anderes Datum angezeigt, obwohl “Time of entry in logfile” correct ist.
https://forum.checkmk.com/uploads/default/original/3X/d/7/d741e4268ef3ca478a95b3ba5622eeb0f7d563b0.png
So war es wohl auch bei den nicht konformen Meldungen der Sophos Firewall, bis dort eine extra Variante gebaut wurde?
Mir ist klar das nicht für alle falschen Meldungen extra Varianten gebaut werden können, aber wenn keine Zeit erkannt wird sollte imho auch keine verkehrte letzte Zeit aufscheinen…