Förordningar inom många sektorer kräver att system kan spåras till UTC. Det innebär att ett systems förskjutning kan intygas med avseende på UTC. För att aktivera scenarier för regelefterlevnad tillhandahåller Windows 10 (version 1703 eller senare) och Windows Server 2016 (version 1709 eller senare) nya händelseloggar för att ge en bild ur operativsystemets perspektiv för att bilda sig en förståelse för de åtgärder som vidtas på systemklockan. Dessa händelseloggar genereras kontinuerligt för Windows Time-tjänsten och kan undersökas eller arkiveras för senare analys.
Dessa nya händelser gör att följande frågor kan besvaras:
- Ändrades systemklockan
- Ändrades klockfrekvensen
- Ändrades Windows-tidstjänstens konfiguration
Availability
Dessa förbättringar ingår i Windows 10 version 1703 eller senare och Windows Server 2016 version 1709 eller senare.
Configuration
Ingen konfiguration krävs för att förverkliga den här funktionen. Dessa händelseloggar är som standard aktiverade och kan hittas i Händelsevisaren under kanalen Applications and Services Log\Microsoft\Windows\Time-Service\Operational.
Lista över händelseloggar
I följande avsnitt beskrivs de händelser som loggas för användning i spårningsscenarier.
Den här händelsen loggas när Windows Time Service (W32Time) startar och loggar information om aktuell tid, aktuellt antal tick, körningskonfiguration, tidsproviders och aktuell klockfrekvens.
| Händelsebeskrivning |
Tjänststart |
| Details |
Inträffar vid W32time-uppstart |
| Data loggade |
- Aktuell tid i UTC
- Aktuellt antal tick
- W32Time-konfiguration
- Konfiguration av tidsleverantör
- Klockfrekvens
|
| Strypningsmekanism |
None. Den här händelsen utlöses varje gång tjänsten startas. |
Example:
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
Command:
Den här informationen kan också frågas med hjälp av följande kommandon
Konfiguration av W32Time och Tidsleverantör
w32tm.exe /query /configuration
klockfrekvens
w32tm.exe /query /status /verbose
Den här händelsen loggas när Windows Time Service (W32Time) stoppas och loggar information om aktuell tid och antal tick.
| Händelsebeskrivning |
Tjänststopp |
| Details |
Inträffar vid W32time-avstängning |
| Data loggade |
- Aktuell tid i UTC
- Aktuellt antal tick
|
| Strypningsmekanism |
None. Den här händelsen utlöses varje gång tjänsten stoppas. |
Exempeltext:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
Den här händelsen loggar regelbundet sin aktuella lista över tidskällor och den valda tidskällan. Den loggar även det aktuella antalet fästingar. Den här händelsen utlöses inte varje gång en tidskälla ändras. Andra händelser som anges senare i det här dokumentet innehåller den här funktionen.
| Händelsebeskrivning |
Periodisk status för NTP-klientprovider |
| Details |
Lista över tidskällor som används av NTP-klienten |
| Data loggade |
- Tillgängliga tidskällor
- Den valda referenstidsservern vid tidpunkten för loggningen
- Aktuellt antal tick
|
| Strypningsmekanism |
Loggas en gång var 8:e timme. |
Exempeltext: Status för NTP-klientleverantör: periodisk
Ntp-klienten tar emot tidsdata från följande NTP-servrar:
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); och den valda referenstidsservern är Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63). System Tick-antal 13187937
Kommando Den här informationen kan också efterfrågas med hjälp av följande kommandon
Identifiera noderw32tm.exe /query /peers
| Händelsebeskrivning |
Tidstjänstkonfiguration och status |
| Details |
W32time loggar regelbundet konfigurationen och statusen. Detta motsvarar anropet:
w32tm /query /configuration /verbose
OR
w32tm /query /status /verbose |
| Strypningsmekanism |
Loggas en gång var 8:e timme. |
Den här händelsen loggar varje instans när systemtiden ändras med hjälp av SetSystemTime-API:et.
| Händelsebeskrivning |
Systemtid har angetts |
| Strypningsmekanism |
None. Den här händelsen bör inträffa sällan på system med rimlig tidssynkronisering och vi vill logga den varje gång den inträffar. Vi ignorerar inställningen TimeJumpAuditOffset när den här händelsen loggas eftersom den inställningen var avsedd att begränsa händelser i Windows System-händelseloggen. |
| Händelsebeskrivning |
Systemets klockfrekvens justerad |
| Details |
Systemets klockfrekvens ändras ständigt av W32time när klockan är i nära synkronisering. Vi vill samla in "ganska betydande" justeringar av klockfrekvensen utan att överskrida händelseloggen. |
| Strypningsmekanism |
Alla klockjusteringar under TimeAdjustmentAuditThreshold (min = 128 delar per miljon, standard = 800 delar per miljon) loggas inte. 2 PPM ändring i klockfrekvens med aktuell upplösning ger 120 μs/s förändring i klocknoggrannhet. I ett synkroniserat system är de flesta justeringarna under den här nivån. Om du vill ha finare spårning kan den här inställningen justeras ned eller så kan du använda PerfCounters, eller så kan du göra båda. |
| Händelsebeskrivning |
Ändringar i tidstjänstinställningarna eller listan över inlästa tidsleverantörer. |
| Details |
Omläsning av W32time-inställningar kan göra att vissa kritiska inställningar ändras i minnet, vilket kan påverka den övergripande noggrannheten i tidssynkroniseringen.
W32time loggar varje förekomst vid omläsning av dess inställningar, vilket ger den potentiella effekten på tidssynkronisering. |
| Strypningsmekanism |
None.
Den här händelsen inträffar endast när en administratör eller en GP-uppdatering förändrar tidsleverantörer och därefter aktiverar W32time. Vi vill registrera varje instans av ändring av inställningar. |
| Händelsebeskrivning |
Ändring i tidskällor som används av NTP-klienten |
| Details |
NTP-klienten registrerar en händelse med det nuvarande tillståndet för tidsservrar/peers när en tidsserver/peer ändrar tillstånd (väntar –>Sync, Sync –> kan inte nåseller andra övergångar) |
| Strypningsmekanism |
Maximal frekvens – bara en gång var femte minut för att skydda loggen från tillfälliga problem och felaktig providerimplementering. |
| Händelsebeskrivning |
Ändringar av tidstjänstkälla eller stratumnummer |
| Details |
W32time-tidskälla och Stratum-nummer är viktiga faktorer när det gäller tidsspårning och eventuella ändringar av dem måste loggas. Om W32time inte har någon tidskälla och du inte har konfigurerat det som en tillförlitlig tidskälla, slutar den att annonsera som en tidsserver och svarar enligt design på förfrågningar med vissa ogiltiga parametrar. Den här händelsen är viktig för att spåra tillståndsändringarna i en NTP-topologi. |
| Strypningsmekanism |
None. |
| Händelsebeskrivning |
Tidssynkronisering begärs |
| Details |
Den här åtgärden utlöses:- När nätverksändringar sker
- Systemet returnerar från anslutet vänteläge/viloläge
- När vi inte synkroniserade på länge
- Administratören utfärdar kommandot omsynkronisering
Den här åtgärden resulterar i omedelbar förlust av detaljerad tidssynkronitet eftersom det gör att NTP-klienten rensar sina filter. |
| Strypningsmekanism |
Maxfrekvens – en gång var 5:e minut.
Det är möjligt att ett felaktigt nätverkskort (eller ett dåligt skript) kan utlösa den här åtgärden upprepade gånger och resultera i att loggarna överbelastas. Därför är det nödvändigt att hålla den här händelsen under kontroll.
Korrekt tidssynkronisering tar betydligt mer än 5 minuter att uppnå, och strypning förlorar inte information om den ursprungliga händelsen som ledde till förlust av tidsnoggrannhet. |