Předpisy v mnoha odvětvích vyžadují, aby systémy byly trasovatelné na UTC. To znamená, že posun systému lze ověřit s ohledem na UTC. Pokud chcete povolit scénáře dodržování právních předpisů, Windows 10 (verze 1703 nebo vyšší) a Windows Server 2016 (verze 1709 nebo vyšší) poskytují nové protokoly událostí, které poskytují obrázek z pohledu operačního systému, aby bylo možné porozumět akcím provedeným v systémových hodinách. Tyto protokoly událostí se generují nepřetržitě pro službu Windows Time a je možné je prozkoumat nebo archivovat pro pozdější analýzu.
Tyto nové události umožňují zodpovědět následující otázky:
- Došlo ke změně systémových hodin.
- Byla frekvence hodin změněna.
- Byla změněna konfigurace služby Windows Time.
Availability
Tato vylepšení jsou součástí Windows 10 verze 1703 nebo vyšší a Windows Server 2016 verze 1709 nebo vyšší.
Configuration
K realizaci této funkce není nutná žádná konfigurace. Tyto protokoly událostí jsou ve výchozím nastavení povolené a lze je najít v prohlížeči událostí v části Protokol aplikací a služeb\Microsoft\Windows\Time-Service\Operational channel.
Seznam protokolů událostí
Následující část popisuje události protokolované pro použití ve scénářích sledovatelnosti.
Tato událost se zaprotokoluje při spuštění služby Windows Time Service (W32Time) a zaznamenává informace o aktuálním čase, aktuálním počtu záznaků, konfiguraci modulu runtime, poskytovateli času a aktuální frekvenci hodin.
| Event description |
Service Start |
| Details |
Nastane při spuštění W32time |
| Data logged |
- Aktuální čas v UTC
- Aktuální počet záškrtů
- W32Time Configuration
- Konfigurace zprostředkovatele času
- Clock Rate
|
| Throttling mechanism |
None. Tato událost se aktivuje při každém spuštění služby. |
Example:
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
Command:
Tyto informace lze také dotazovat pomocí následujících příkazů.
Konfigurace Zprostředkovatele času a času W32
w32tm.exe /query /configuration
Clock Rate
w32tm.exe /query /status /verbose
Tato událost se zaprotokoluje, když služba Windows Time Service (W32Time) zastavuje a zaznamenává informace o aktuálním čase a počtu záznaků.
| Event description |
Service Stop |
| Details |
Nastane při vypnutí W32time |
| Data logged |
- Aktuální čas v UTC
- Aktuální počet záškrtů
|
| Throttling mechanism |
None. Tato událost se aktivuje při každém zastavení služby. |
Example text:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
Tato událost pravidelně zaznamenává svůj aktuální seznam časových zdrojů a zvoleného zdroje času. Protokoluje také aktuální počet tiků. Tato událost se neaktivuje při každé změně časového zdroje. Další události uvedené dále v tomto dokumentu poskytují tuto funkci.
| Event description |
Pravidelný stav zprostředkovatele klienta NTP |
| Details |
Seznam časových zdrojů používaných klientem NTP |
| Data logged |
- Dostupné časové zdroje
- Zvolený server referenčního času v době protokolování
- Aktuální počet záškrtů
|
| Throttling mechanism |
Zaprotokolováno každých 8 hodin. |
Example text: NTP Client provider periodic status:
Klient ntp přijímá časová data z následujících serverů NTP:
server1.fabrikam.com,0x8 (ntp.m|0x8|[:]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[:]:123->[IPAddress]:123) a zvolený referenční časový server je Server1.fabrikam.com,0x8 (ntp.m|0x8|[:]:123->[IPAddress]:123) (RefID:0x08d6648e63). Počet systémových záškrtů 13187937
Command This information can also be queried using the following commands
Identify Peersw32tm.exe /query /peers
| Event description |
Konfigurace a stav časové služby |
| Details |
W32time pravidelně protokoluje konfiguraci a stav. Toto je ekvivalent volání:
w32tm /query /configuration /verbose
OR
w32tm /query /status /verbose |
| Throttling mechanism |
Zaprotokolováno každých 8 hodin. |
Tato událost protokoluje každý případ úpravy systémového času pomocí API SetSystemTime.
| Event description |
Systémový čas je nastavený. |
| Throttling mechanism |
None. Tato událost by měla probíhat zřídka v systémech s rozumnou synchronizací času a chceme ji protokolovat pokaždé, když k ní dojde. Při protokolování této události ignorujeme nastavení TimeJumpAuditOffset, protože toto nastavení mělo omezovat události v protokolu událostí systému Windows. |
| Event description |
Frekvence systémových hodin upravená |
| Details |
Frekvence systémových hodin se neustále mění pomocí W32time, když jsou hodiny v těsné synchronizaci. Chceme zachytit "přiměřeně významné" úpravy frekvence hodin, aniž by došlo k přerušování protokolu událostí. |
| Throttling mechanism |
Všechny úpravy hodin pod hodnotou TimeAdjustmentAuditThreshold (min = 128 částí za milion, výchozí hodnota = 800 částí za milion) se nezaprotokolují. Změna 2 PPM ve frekvenci hodin s aktuální členitostí přináší změnu 120 μsec/s v přesnosti hodin. U synchronizovaného systému je většina úprav nižší než tato úroveň. Pokud chcete jemně sledovat, můžete toto nastavení upravit dolů nebo můžete použít nástroje PerfCounters nebo můžete provést obojí. |
| Event description |
Změňte nastavení služby Time nebo seznam načtených zprostředkovatelů času. |
| Details |
Opakované čtení nastavení W32time může způsobit úpravu určitých důležitých nastavení v paměti, což může ovlivnit celkovou přesnost synchronizace času.
W32time zaznamená každý výskyt při opětovném načítání jeho nastavení, což dává potenciální dopad na synchronizaci času. |
| Throttling mechanism |
None.
K této události dochází pouze v případě, že správce nebo gp aktualizuje poskytovatele času a pak aktivuje W32time. Chceme zaznamenat každou instanci změny nastavení. |
| Event description |
Změna časových zdrojů používaných klientem NTP |
| Details |
Klient NTP zaznamenává událost s aktuálním stavem časových serverů nebo uzlů, když se změní stav časového serveru nebo uzlu (čeká na –> synchronizaci, synchronizaci –> nedostupné, nebo jiné přechody). |
| Throttling mechanism |
Maximální frekvence – pouze jednou za 5 minut za účelem ochrany protokolu před přechodnými problémy a chybnou implementací zprostředkovatele. |
| Event description |
Změny zdroje časové služby nebo čísel stratum |
| Details |
W32time Time Source and Stratum Number jsou důležité faktory v časové sledovatelnosti a všechny změny v nich musí být zaznamenány. Pokud W32time nemá žádný zdroj času a vy jste jej nenakonfigurovali jako spolehlivý zdroj času, přestane fungovat jako časový server a záměrně reagovat na požadavky s některými neplatnými parametry. Tato událost je důležitá ke sledování změn stavu v topologii PROTOKOLU NTP. |
| Throttling mechanism |
None. |
| Event description |
Vyzaduje se časová resynchronizace. |
| Details |
Tato operace se aktivuje:- Když dojde ke změnám sítě
- Systém se vrací z připojeného úsporného režimu / hibernace
- Když jsme se dlouho nesynchronizovali
- Správce vydá příkaz pro opětovnou synchronizaci.
Výsledkem této operace je okamžitá ztráta přesnosti podrobné synchronizace času, protože klient NTP vymaže filtry. |
| Throttling mechanism |
Maximální frekvence – jednou za 5 minut.
Je možné, že chybná síťová karta (nebo špatný skript) může tuto operaci aktivovat opakovaně a způsobit zahlcení protokolů. Proto je potřeba tuto událost regulovat.
Přesná synchronizace času trvá výrazně déle než 5 minut a omezení nezpůsobuje ztrátu informací o původní události, která vedla ke ztrátě přesnosti času. |