Waktu Windows untuk Keterlacakan

• Berlaku untuk:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

Peraturan di banyak sektor mengharuskan sistem untuk dapat dilacak ke UTC. Ini berarti bahwa offset sistem dapat dibuktikan sehubungan dengan UTC. Untuk mengaktifkan skenario kepatuhan terhadap peraturan, Windows 10 (versi 1703 atau lebih tinggi) dan Windows Server 2016 (versi 1709 atau lebih tinggi) menyediakan log peristiwa baru untuk memberikan gambaran dari perspektif Sistem Operasi untuk membentuk pemahaman tentang tindakan yang diambil pada jam sistem. Log peristiwa ini dihasilkan terus menerus untuk layanan Windows Time dan dapat diperiksa atau diarsipkan untuk analisis nanti.

Peristiwa baru ini memungkinkan pertanyaan berikut untuk dijawab:

• Apakah jam sistem diubah
• Apakah frekuensi jam diubah
• Apakah konfigurasi layanan Windows Time diubah

Ketersediaan

Peningkatan ini disertakan dalam Windows 10 versi 1703 atau lebih tinggi, dan Windows Server 2016 versi 1709 atau lebih tinggi.

Konfigurasi

Tidak diperlukan konfigurasi untuk mewujudkan fitur ini. Log peristiwa ini diaktifkan secara default dan dapat ditemukan di penampil peristiwa di bawah saluran Aplikasi dan Layanan Log\Microsoft\Windows\Time-Service\Operational .

Daftar Log Peristiwa

Bagian berikut menguraikan peristiwa yang dicatat untuk digunakan dalam skenario keterlacakan.

257

Kejadian ini dicatat ketika Windows Time Service (W32Time) memulai dan mencatat informasi tentang waktu saat ini, jumlah centang saat ini, konfigurasi runtime, penyedia waktu, dan laju jam saat ini.

Deskripsi kejadian	Mulai Layanan
Detail	Terjadi pada W32time Startup
Data dicatat	Waktu Saat Ini dalam UTC Jumlah Centang Saat Ini Konfigurasi W32Time Konfigurasi Penyedia Waktu Laju Jam
Mekanisme pembatasan	Tidak ada. Peristiwa ini diaktifkan setiap kali layanan dimulai.

Contoh:

W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.

Perintah:

Informasi ini juga dapat dikueri menggunakan perintah berikut

Konfigurasi W32Time dan Time Provider

w32tm.exe /query /configuration

Laju Jam

w32tm.exe /query /status /verbose

258

Kejadian ini dicatat ketika Windows Time Service (W32Time) berhenti dan mencatat informasi tentang waktu saat ini dan jumlah centang.

Deskripsi kejadian	Layanan Berhenti
Detail	Terjadi pada Pematian W32time
Data dicatat	Waktu Saat Ini dalam UTC Jumlah Centang Saat Ini
Mekanisme pembatasan	Tidak ada. Peristiwa ini diaktifkan setiap kali layanan berhenti.

Contoh teks:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.

259

Kejadian ini secara berkala mencatat daftar sumber waktu saat ini dan sumber waktu yang dipilih. Ini juga mencatat jumlah centang saat ini. Kejadian ini tidak diaktifkan setiap kali sumber waktu berubah. Kejadian lain yang tercantum nanti dalam dokumen ini menyediakan fungsionalitas ini.

Deskripsi kejadian	Status Berkala Penyedia Klien NTP
Detail	Daftar sumber waktu yang digunakan oleh Klien NTP
Data dicatat	Sumber waktu yang tersedia Server waktu referensi yang dipilih pada saat pengelogan Jumlah Centang Saat Ini
Mekanisme pembatasan	Dicatat setiap 8 jam sekali.

Contoh teks: Status berkala penyedia Klien NTP:

Klien Ntp menerima data waktu dari Server NTP berikut:

server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); dan server waktu referensi yang dipilih adalah Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63). 13187937 Jumlah Centang Sistem

Perintah Informasi ini juga dapat dikueri menggunakan perintah berikut

Identifikasi Serekanw32tm.exe /query /peers

260

Deskripsi kejadian	Konfigurasi dan status layanan waktu
Detail	W32time secara berkala mencatat konfigurasi dan statusnya. Ini setara dengan panggilan: w32tm /query /configuration /verbose ATAU w32tm /query /status /verbose
Mekanisme pembatasan	Dicatat setiap 8 jam sekali.

261

Kejadian ini mencatat setiap instans ketika Waktu Sistem dimodifikasi menggunakan API SetSystemTime.

Deskripsi kejadian	Waktu Sistem diatur
Mekanisme pembatasan	Tidak ada. Kejadian ini jarang terjadi pada sistem dengan sinkronisasi waktu yang wajar, dan kami ingin mencatatnya setiap kali terjadi. Kami mengabaikan pengaturan TimeJumpAuditOffset saat mencatat peristiwa ini karena pengaturan tersebut dimaksudkan untuk membatasi peristiwa di log peristiwa Sistem Windows.

262

Deskripsi kejadian	Frekuensi jam sistem disesuaikan
Detail	Frekuensi jam sistem terus dimodifikasi oleh W32time ketika jam berada dalam sinkronisasi yang dekat. Kami ingin mengambil penyesuaian "cukup signifikan" yang dilakukan pada frekuensi jam tanpa menimpa log peristiwa.
Mekanisme pembatasan	Semua penyesuaian jam di bawah TimeAdjustmentAuditThreshold (min = 128 bagian per juta, default = 800 bagian per juta) tidak dicatat. 2 PPM perubahan frekuensi jam dengan granularitas saat ini menghasilkan perubahan 120 μsec/detik dalam akurasi jam. Pada sistem yang disinkronkan, sebagian besar penyesuaian berada di bawah tingkat ini. Jika Anda ingin pelacakan yang lebih baik, pengaturan ini dapat disesuaikan atau Anda dapat menggunakan PerfCounters, atau Anda dapat melakukan keduanya.

263

Deskripsi kejadian	Ubah pengaturan Layanan waktu atau daftar penyedia waktu yang dimuat.
Detail	Membaca ulang pengaturan W32time dapat menyebabkan pengaturan penting tertentu dimodifikasi dalam memori, yang dapat memengaruhi akurasi keseluruhan sinkronisasi waktu. W32time mencatat setiap kemunculan saat dibaca ulang pengaturannya, yang memberikan dampak potensial pada sinkronisasi waktu.
Mekanisme pembatasan	Tidak ada. Kejadian ini hanya terjadi ketika admin atau pembaruan GP mengubah penyedia waktu lalu memicu W32time. Kami ingin merekam setiap instans perubahan pengaturan.

264

Deskripsi kejadian	Perubahan sumber waktu yang digunakan oleh Klien NTP
Detail	Klien NTP merekam peristiwa dengan status server waktu/peer saat server waktu/status perubahan serekan (Status tertunda ->Sinkronisasi, Sinkronisasi -> tidak dapat dijangkau, atau transisi lainnya)
Mekanisme pembatasan	Frekuensi maksimum - hanya sekali setiap 5 menit untuk melindungi log dari masalah sementara dan implementasi penyedia yang buruk.

265

Deskripsi kejadian	Sumber layanan waktu atau perubahan nomor stratum
Detail	Sumber Waktu W32time dan Nomor Stratum adalah faktor penting dalam keterlacakan waktu dan setiap perubahan pada mereka harus dicatat. Jika W32time tidak memiliki sumber waktu dan Anda belum mengonfigurasi sebagai sumber waktu yang andal, maka W32time akan berhenti beriklan sebagai server waktu, dan secara desain menanggapi permintaan dengan beberapa parameter yang tidak valid. Kejadian ini sangat penting untuk melacak perubahan status dalam topologi NTP.
Mekanisme pembatasan	Tidak ada.

266

Deskripsi kejadian	Sinkronisasi ulang waktu diminta
Detail	Operasi ini dipicu: Ketika perubahan jaringan terjadi Sistem kembali dari siaga/hibernasi tersambung Ketika kami tidak menyinkronkan untuk waktu yang lama Admin mengeluarkan perintah sinkronisasi ulang Operasi ini mengakibatkan hilangnya akurasi sinkronisasi waktu yang halus karena menyebabkan klien NTP menghapus filternya.
Mekanisme pembatasan	Frekuensi maksimum - setiap 5 menit sekali. Ada kemungkinan bahwa kartu jaringan yang buruk (atau skrip yang buruk) dapat memicu operasi ini berulang kali dan mengakibatkan log kewalahan. Oleh karena itu, kebutuhan untuk membatasi peristiwa ini. Sinkronisasi waktu yang akurat membutuhkan waktu jauh lebih dari 5 menit untuk dicapai, dan pembatasan tidak kehilangan informasi tentang peristiwa asli yang mengakibatkan hilangnya akurasi waktu.