Per default, l'orario evento è impostato sull'orario della Gestione servizi di raccolta. L'orario ideale è quello del dispositivo. È consigliabile, quindi, impostare l'orario evento tenendo come riferimento l'orario del dispositivo, qualora questo sia disponibile, accurato e analizzato sintatticamente nel modo adeguato dal servizio di raccolta.

Gli eventi vengono ordinati a intervalli di 30 secondi, affinché possano essere visualizzati in Active Views. Per default, gli eventi che dispongono di una registrazione orario compresa in un intervallo di 5 minuti dall'orario del server (in passato o futuro) vengono elaborati normalmente. Gli eventi che dispongono di una registrazione orario superiore ai 5 minuti rispetto al futuro non vengono visualizzati in Active Views, ma vengono inseriti nella memorizzazione eventi. Gli eventi che dispongono di una registrazione orario superiore ai 5 minuti ma inferiore alle 24 ore rispetto al passato vengono ancora mostrati nei grafici, ma non sono visualizzati nei dati evento di tali grafici. Per recuperare quegli eventi dalla memorizzazione eventi, è necessario eseguire il drill-down.

Se l'orario evento è superiore ai 30 secondi anteriori rispetto all'orario del server, il motore di correlazione non è in grado di elaborare gli eventi.

Se l'orario evento è anteriore di 5 minuti rispetto all'orario della Gestione servizi di raccolta (orario corretto), gli eventi vengono direttamente instradati alla memorizzazione eventi.