Przepisy w wielu sektorach wymagają, aby systemy można było śledzić do czasu UTC. Oznacza to, że przesunięcie systemu można sprawdzić w odniesieniu do czasu UTC. Aby włączyć scenariusze zgodności z przepisami, system Windows 10 (wersja 1703 lub nowsza) i Windows Server 2016 (wersja 1709 lub nowsza) udostępnia nowe dzienniki zdarzeń, aby zapewnić obraz z perspektywy systemu operacyjnego w celu utworzenia zrozumienia akcji wykonywanych na zegarze systemowym. Te dzienniki zdarzeń są generowane w sposób ciągły dla usługi Czas systemu Windows i można je zbadać lub zarchiwizować na potrzeby późniejszej analizy.
Te nowe zdarzenia umożliwiają udzielenie odpowiedzi na następujące pytania:
- Czy zegar systemowy został zmieniony
- Czy częstotliwość zegara została zmodyfikowana
- Czy konfiguracja usługi Czas systemu Windows została zmodyfikowana
Availability
Te ulepszenia są uwzględniane w systemie Windows 10 w wersji 1703 lub nowszej, a system Windows Server 2016 w wersji 1709 lub nowszej.
Configuration
Do realizacji tej funkcji nie jest wymagana żadna konfiguracja. Te dzienniki zdarzeń są domyślnie włączone i można je znaleźć w podglądzie zdarzeń w obszarze Dziennik aplikacji i usług\Microsoft\Windows\Time-Service\Operational .
Lista dzienników zdarzeń
W poniższej sekcji opisano zdarzenia rejestrowane do użycia w scenariuszach śledzenia.
To zdarzenie jest rejestrowane, gdy usługa czasowa systemu Windows (W32Time) uruchamia się i rejestruje informacje o bieżącym czasie, bieżącej liczbie znaczników, konfiguracji środowiska uruchomieniowego, dostawców czasu i bieżącej częstotliwości zegara.
| Opis zdarzenia |
Uruchamianie usługi |
| Details |
Pojawia się podczas startu W32time |
| Zarejestrowane dane |
- Bieżący czas w formacie UTC
- Bieżąca liczba taktów
- Konfiguracja W32Time
- Konfiguracja dostawcy czasu
- Częstotliwość zegara
|
| Mechanizm ograniczania przepustowości |
None. Zdarzenie jest aktywowane za każdym razem, gdy usługa zostaje uruchomiona. |
Example:
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
Command:
Tę informację można również uzyskać przy użyciu następujących poleceń
Konfiguracja W32Time i dostawcy czasu
w32tm.exe /query /configuration
Częstotliwość zegara
w32tm.exe /query /status /verbose
To zdarzenie jest rejestrowane, gdy Usługa czasu systemu Windows (W32Time) jest zatrzymywana i rejestrowane są informacje o bieżącym czasie oraz liczbie tików.
| Opis zdarzenia |
Zatrzymanie usługi |
| Details |
Występuje podczas zamykania W32time |
| Zarejestrowane dane |
- Bieżący czas w formacie UTC
- Bieżąca liczba taktów
|
| Mechanizm ograniczania przepustowości |
None. To zdarzenie jest uruchamiane za każdym razem, gdy usługa zostanie zatrzymana. |
Przykładowy tekst:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
To zdarzenie okresowo loguje bieżącą listę źródeł czasu oraz wybrane źródło czasu. Rejestruje również bieżącą liczbę cykli zegara. To zdarzenie nie jest uruchamiane za każdym razem, gdy zmienia się źródło. Inne zdarzenia wymienione w dalszej części tego dokumentu zapewniają tę funkcję.
| Opis zdarzenia |
Okresowy status klienta dostawcy NTP |
| Details |
Lista źródeł czasu używanych przez klienta NTP |
| Zarejestrowane dane |
- Dostępne źródła czasu
- Wybrany serwer czasu odniesienia w momencie rejestrowania
- Bieżąca liczba taktów
|
| Mechanizm ograniczania przepustowości |
Rejestrowane raz na 8 godzin. |
Przykładowy tekst: Okresowy stan dostawcy usługi NTP:
Klient Ntp odbiera dane czasu z następujących serwerów NTP:
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); a wybrany serwer czasu odniesienia to Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63). Liczba znaczników systemowych 13187937
Polecenie Te informacje można również wywołać przy użyciu następujących poleceń
Identyfikuj rówieśnikóww32tm.exe /query /peers
| Opis zdarzenia |
Konfiguracja i stan usługi czasowej |
| Details |
W32time okresowo rejestruje swoją konfigurację i stan. To jest równoważne z wywołaniem:
w32tm /query /configuration /verbose
OR
w32tm /query /status /verbose |
| Mechanizm ograniczania przepustowości |
Rejestrowane raz na 8 godzin. |
To zdarzenie rejestruje każde wystąpienie, gdy czas systemowy jest modyfikowany przy użyciu interfejsu API SetSystemTime.
| Opis zdarzenia |
Czas systemowy jest ustawiony |
| Mechanizm ograniczania przepustowości |
None. To zdarzenie powinno występować rzadko w systemach z rozsądną synchronizacją czasu i chcemy je rejestrować za każdym razem, gdy wystąpi. Ignorujemy ustawienie TimeJumpAuditOffset podczas rejestrowania tego zdarzenia, ponieważ to ustawienie miało ograniczać zdarzenia w dzienniku zdarzeń systemu Windows. |
| Opis zdarzenia |
Częstotliwość zegara systemowego dostosowana |
| Details |
Częstotliwość zegara systemowego jest stale modyfikowana przez W32time, gdy zegar jest w ścisłej synchronizacji. Chcemy zarejestrować "dość znaczące" korekty częstotliwości zegara bez przepełniania dziennika zdarzeń. |
| Mechanizm ograniczania przepustowości |
Wszystkie korekty zegara poniżej TimeAdjustmentAuditThreshold (min = 128 części na milion, wartość domyślna = 800 części na milion) nie są rejestrowane. Zmiana częstotliwości zegara o 2 PPM przy obecnej rozdzielczości powoduje zmianę dokładności zegara o 120 μs/s. W zsynchronizowanym systemie większość korekt jest poniżej tego poziomu. Jeśli potrzebujesz bardziej precyzyjnego śledzenia, to ustawienie można dostosować w dół lub użyć narzędzia PerfCounters lub możesz wykonać oba te czynności. |
| Opis zdarzenia |
Zmień ustawienia usługi Czas lub listę załadowanych dostawców czasu. |
| Details |
Ponowne odczytywanie ustawień W32time może spowodować zmodyfikowanie pewnych ustawień krytycznych w pamięci, co może mieć wpływ na ogólną dokładność synchronizacji czasu.
W32time rejestruje każde wystąpienie podczas ponownego odczytywania ustawień, co daje potencjalny wpływ na synchronizację czasu. |
| Mechanizm ograniczania przepustowości |
None.
To zdarzenie występuje tylko wtedy, gdy administrator lub aktualizacja gp zmienia dostawców czasu, a następnie wyzwala W32time. Chcemy zarejestrować każde wystąpienie zmiany ustawień. |
| Opis zdarzenia |
Zmiana źródeł czasu używanych przez klienta NTP |
| Details |
Klient NTP rejestruje zdarzenie z bieżącym stanem serwerów czasu/elementów równorzędnych, gdy serwer czasu/element równorzędny zmienia stan (Oczekiwanie na synchronizację>, synchronizacja —> niemożliwy do osiągnięcia lub inne przejścia) |
| Mechanizm ograniczania przepustowości |
Maksymalna częstotliwość — tylko raz na 5 minut, aby chronić dziennik przed przejściowymi problemami i nieprawidłową implementacją dostawcy. |
| Opis zdarzenia |
Zmiany numeru źródła usługi czasowej lub warstwy |
| Details |
Źródło czasu W32time i liczba stratum są ważnymi czynnikami w śledzeniu czasu i wszelkie ich zmiany muszą być rejestrowane. Jeśli usługa W32time nie ma źródła czasu i nie została skonfigurowana jako niezawodne źródło czasu, przestanie pełnić rolę serwera czasu i z zamierzenia odpowiadać na żądania z pewnymi nieprawidłowymi parametrami. To zdarzenie ma kluczowe znaczenie dla śledzenia zmian stanu w topologii NTP. |
| Mechanizm ograniczania przepustowości |
None. |
| Opis zdarzenia |
Zażądano ponownej synchronizacji czasu |
| Details |
Ta operacja jest wyzwalana:- Gdy wystąpią zmiany w sieci
- System powraca z połączonego stanu wstrzymania/hibernacji
- Gdy synchronizacja nie powiodła się przez długi czas
- Administrator wystawia polecenie ponownej synchronizacji
Ta operacja powoduje natychmiastową utratę dokładnej dokładności synchronizacji czasu, ponieważ powoduje, że klient NTP wyczyści filtry. |
| Mechanizm ograniczania przepustowości |
Maksymalna częstotliwość — raz na 5 minut.
Istnieje możliwość, że wadliwa karta sieciowa (lub słaby skrypt) może wielokrotnie wyzwalać tę operację, co prowadzi do przeciążenia dzienników. W związku z tym potrzeba zdławienia tego zdarzenia.
Dokładna synchronizacja czasu zajmuje znacznie więcej niż 5 minut, a ograniczanie przepustowości nie traci informacji o oryginalnym zdarzeniu, które spowodowało utratę dokładności czasu. |