в панели управления kibana winlogbeat записывает событие sysmon и отправляет его вasticsearch, а затем в kibana. есть 3 имени поля на временной основе, и я не могу понять разницу между ними, а именно: event_data.PreviousCreationUtcTime, event_data.UtcTime и event_data.CreationUtcTime. в приведенной ниже ссылке это визуализация кибана
