Os regulamentos em muitos setores exigem que os sistemas sejam rastreáveis até a UTC. Isto significa que o desvio de um sistema pode ser atestado em relação ao UTC. Para habilitar cenários de conformidade regulatória, o Windows 10 (versão 1703 ou superior) e o Windows Server 2016 (versão 1709 ou superior) fornecem novos logs de eventos para fornecer uma imagem da perspetiva do sistema operacional para formar uma compreensão das ações executadas no relógio do sistema. Esses logs de eventos são gerados continuamente para o serviço de Tempo do Windows e podem ser examinados ou arquivados para análise posterior.
Estes novos eventos permitem responder às seguintes perguntas:
- O relógio do sistema foi alterado
- A frequência do relógio foi modificada
- A configuração do serviço de Tempo do Windows foi modificada
Availability
Essas melhorias estão incluídas no Windows 10 versão 1703 ou superior e no Windows Server 2016 versão 1709 ou superior.
Configuration
Nenhuma configuração é necessária para realizar esse recurso. Esses logs de eventos são habilitados por padrão e podem ser encontrados no visualizador de eventos no canal Log de Aplicativos e Serviços\Microsoft\Windows\Time-Service\Operation .
Lista de logs de eventos
A seção a seguir descreve os eventos registrados para uso em cenários de rastreabilidade.
Esse evento é registrado quando o Serviço de Tempo do Windows (W32Time) é iniciado e registra informações sobre a hora atual, contagem de ticks atual, configuração de tempo de execução, provedores de tempo e taxa de relógio atual.
| Descrição do evento |
Início do Serviço |
| Details |
Ocorre na inicialização do W32time |
| Dados registados |
- Hora atual em UTC
- Contagem de ticks atual
- Configuração do W32Time
- Configuração do Provedor de Tempo
- Taxa de relógio
|
| Mecanismo de limitação |
None. Este evento acontece sempre que o serviço é iniciado. |
Example:
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
Command:
Essas informações também podem ser consultadas usando os seguintes comandos:
Configuração do W32Time e Time Provider
w32tm.exe /query /configuration
Frequência de Relógio
w32tm.exe /query /status /verbose
Esse evento é registrado quando o Serviço de Tempo do Windows (W32Time) está parando e registra informações sobre a hora atual e a contagem de ticks.
| Descrição do evento |
Paragem de Serviço |
| Details |
Ocorre durante o encerramento do W32time |
| Dados registados |
- Hora atual em UTC
- Contagem de ticks atual
|
| Mecanismo de limitação |
None. Esse evento é acionado toda vez que o serviço é interrompido. |
Texto de exemplo:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
Esse evento registra periodicamente sua lista atual de fontes de tempo e sua fonte de tempo escolhida. Ele também registra a contagem de ticks atual. Este evento não é acionado sempre que uma fonte de tempo muda. Outros eventos listados posteriormente neste documento fornecem essa funcionalidade.
| Descrição do evento |
Status periódico do provedor de cliente NTP |
| Details |
Lista de fontes de tempo usadas pelo cliente NTP |
| Dados registados |
- Fontes de tempo disponíveis
- O servidor de tempo de referência escolhido no momento do registo
- Contagem de ticks atual
|
| Mecanismo de limitação |
Registrado uma vez a cada 8 horas. |
Texto de exemplo: Status periódico do provedor do cliente NTP:
Ntp Client está recebendo dados de tempo dos seguintes servidores NTP:
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); e o servidor de tempo de referência escolhido é Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63). Contagem de Ticks do Sistema 13187937
Comando Essas informações também podem ser consultadas usando os seguintes comandos:
Identificar colegasw32tm.exe /query /peers
| Descrição do evento |
Configuração e estado do serviço de tempo |
| Details |
O W32time registra periodicamente sua configuração e status. Isto é o equivalente a chamar:
w32tm /query /configuration /verbose
OR
w32tm /query /status /verbose |
| Mecanismo de limitação |
Registrado uma vez a cada 8 horas. |
Esse evento registra cada instância quando o Tempo do Sistema é modificado usando a API SetSystemTime.
| Descrição do evento |
A hora do sistema está definida |
| Mecanismo de limitação |
None. Esse evento deve acontecer raramente em sistemas com sincronização de tempo razoável, e queremos registrá-lo sempre que ocorrer. Ignoramos a configuração TimeJumpAuditOffset ao registrar esse evento, pois essa configuração foi criada para limitar eventos no log de eventos do Sistema Windows. |
| Descrição do evento |
Frequência do relógio do sistema ajustada |
| Details |
A frequência do relógio do sistema é constantemente modificada pelo W32time quando o relógio está em estreita sincronização. Queremos capturar ajustes "razoavelmente significativos" feitos na frequência do relógio sem ultrapassar o log de eventos. |
| Mecanismo de limitação |
Todos os ajustes de relógio abaixo de TimeAdjustmentAuditThreshold (min = 128 partes por milhão, padrão = 800 partes por milhão) não são registrados. A alteração de 2 PPM na frequência do relógio com granularidade de corrente produz uma alteração de 120 μseg/seg na precisão do relógio. Em um sistema sincronizado, a maioria dos ajustes está abaixo desse nível. Se você quiser um rastreamento mais preciso, essa configuração pode ser ajustada para baixo ou você pode usar PerfCounters, ou você pode fazer ambos. |
| Descrição do evento |
Altere as configurações do serviço de horário ou a lista de fornecedores de horário carregados. |
| Details |
A releitura das configurações do W32time pode fazer com que determinadas configurações críticas sejam modificadas na memória, o que pode afetar a precisão geral da sincronização de tempo.
O W32time regista cada ocorrência ao reler as suas configurações, o que apresenta o impacto potencial na sincronização do tempo. |
| Mecanismo de limitação |
None.
Esse evento ocorre somente quando uma atualização de administrador ou GP altera os provedores de tempo e, em seguida, aciona W32time. Queremos registrar cada instância de alteração de configurações. |
| Descrição do evento |
Alteração nas fontes de tempo usadas pelo cliente NTP |
| Details |
O Cliente NTP grava um evento com o estado atual dos servidores/pares de hora quando um servidor/peer de hora muda de estado (Pendente -> Sincronizado, Sincronizado -> inalcançável ou outras transições) |
| Mecanismo de limitação |
Frequência máxima – apenas uma vez a cada 5 minutos para proteger o log de problemas transitórios e implementação incorreta do provedor. |
| Descrição do evento |
Alterações na origem do serviço de tempo ou no número do estrato |
| Details |
W32time Time Source e Stratum Number são fatores importantes na rastreabilidade do tempo e quaisquer alterações neles devem ser registradas. Se o W32time não tiver uma fonte de tempo e você não o tiver configurado como uma fonte de tempo confiável, ele deixará de anunciar como um servidor de tempo e, por design, responderá a solicitações com alguns parâmetros inválidos. Esse evento é crítico para controlar as alterações de estado em uma topologia NTP. |
| Mecanismo de limitação |
None. |
| Descrição do evento |
A ressincronização de tempo é solicitada |
| Details |
Esta operação é acionada:- Quando ocorrem alterações na rede
- O sistema retorna do modo de espera/hibernação conectado
- Quando não sincronizamos por muito tempo
- O administrador emite o comando resync
Essa operação resulta em perda imediata de precisão de sincronização de tempo refinada porque faz com que o cliente NTP limpe seus filtros. |
| Mecanismo de limitação |
Frequência máxima - uma vez a cada 5 minutos.
É possível que uma placa de rede incorreta (ou um script ruim) possa acionar essa operação repetidamente e resultar em logs sobrecarregados. Daí a necessidade de acelerar este evento.
A sincronização de tempo precisa leva muito mais de 5 minutos para ser alcançada, e a regulação não perde informações sobre o evento original que resultou na imprecisão temporal. |