Compruebe que todos los sistemas host utilizan la misma fuente de tiempo relativo, incluido el desplazamiento de localización correspondiente. Puede correlacionar la fuente de tiempo relativo con un estándar de tiempo acordado, como UTC (hora universal coordinada).

Puede realizar el seguimiento de las acciones de un intruso, y correlacionarlas, al revisar los archivos de registro pertinentes. Una configuración incorrecta de la hora puede dificultar la inspección y la correlación de los archivos de log a fin de detectar ataques; también puede hacer imprecisas las auditorías. Puede utilizar al menos tres servidores NTP de fuentes de tiempo externas o configurar servidores NTP locales en una red de confianza que obtenga el tiempo de al menos tres fuentes de tiempo externas.