Что означает значение MS Sysinternals (Sysmon)?

У меня есть гид, который оставили инструменты Sysinternals по имени Sysmon. Похоже на это.

3/18 C591B94E-4BDD-5AAE-0000-001073B13706

4/4 C591B94E-1BFA-5AC5-0000-0010E76F3903

4/29 C591B94E-A33F-5AE5-0000-001074CA4C26

5/2 (другая учетная запись Windows) C591B94E-E23B-5AE9-0000-0010DD40EF32

5/2 (на виртуальной машине) A15730FB-E3DA-5AE9-0000-0010AB2C0800

Он генерируется, когда процесс создается (Event ID 1) на моем компьютере в разные дни и в другой среде. И я нашел формат uuid ( https://en.wikipedia.org/wiki/Universally_unique_identifier)

xxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx (M указывает версию UUID, а один-три старших разряда цифры N указывают вариант UUID)

В соответствии с этим мой пример 3/18 - C591B94E-4BDD-5 AAE-0000-001073B13706. Это означает, что M равно 5, N равно 0, другими словами, версия UUID равна 5, вариант равен 0. Это означает, что это значение хэш-функции SHA-1 (версия 5), а вариант равен 0.

Мне действительно интересно, что означает другое число. Поскольку в документах sysmon говорится, что guid полезен для корреляции, НО они никогда не объясняют, что означает это число.

Я могу предположить, что первая группа связана с информацией о ПК. потому что только когда я изменил ПК (5/2 на виртуальной машине), первая группа изменилась (C591B94E -> A15730FB). Поэтому я подумал, что это связано с Mac или IP-адресом. Но даже если я изменил MAC и IP-адрес, он остался A15730FB или C591B94E.

Я уверен, что вторая группа связана со временем.

Но я не могу понять, что это значит.