El formato del archivo log de Squid incluye marcas de tiempo en un formato no muy amigable de ser leído por los seres humanos; UNIX epoch. Esto contabiliza el tiempo transcurrido desde el 1ero de enero del año 1970 a las 00:00:00 UTC.

Al trabajar con la shell de comandos es factible manipular los archivos log de Squid para propósitos forenses. De esta manera se puede realizar la conversión desde UNIX epoch hacia un formato comprensible por los seres humanos, utilizando el comando “date”.

Para realizar la conversión se precede cualquier marca de tiempo UNIX con el símbolo @. Por defecto el comando mostrará un valor comprensible para los seres humanos correspondiente a la zona del tiempo local.

$ date -d @1125216662.729
$ date -d @1125216698.496

Si se añade la opción “-u” al comando “date”, se mostrará el tiempo en UTC.

$ date -u -d @1125216662.729
$ date -u -d @1125216698.496

Anotación: En algunas versiones del comando “date”, no se comporta de esta manera. Sin embargo la versión incluida en SIFT y otros distribuciones Linux modernas soportan esta sintaxis y caso de uso. Para realizar esto en Apple MacOS por ejemplo, la sintaxis es similar, pero notar los valores de segundos necesita ser truncado hacia un entero.

Fuentes:

https://wiki.squid-cache.org/SquidFaq/SquidLogs
https://en.wikipedia.org/wiki/Unix_time