Согласно нормативам во многих сферах требуются системы для отслеживания в формате UTC. Это означает, что смещение системы относительно UTC может быть подтверждено. Для обеспечения сценариев соблюдения нормативных требований Windows 10 (версии 1703 и более поздних версий) и Windows Server 2016 (версия 1709 и более поздних версий) предоставляют новые журналы событий, чтобы предоставить представление с точки зрения операционной системы и сформировать понимание действий, выполненных с системными часами. Эти журналы событий создаются постоянно для службы времени Windows. Их можно проверять и архивировать для последующего анализа.
Новые события позволяют получить ответы на следующие вопросы:
- изменились ли системные часы;
- изменилась ли тактовая частота;
- изменилась ли конфигурация Службы времени Windows.
Доступность
Эти улучшения включены в Windows 10 версии 1703 и более поздние версии, а также в Windows Server 2016 версии 1709 и более поздние версии.
Настройка
Чтобы использовать эту возможность, дополнительная настройка не требуется. Создание журналов событий включено по умолчанию, и их можно найти в средстве просмотра событий в канале Applications and Services Log\Microsoft\Windows\Time-Service\Operational.
Список журналов событий
В следующем разделе описываются события, регистрируемые для использования в сценариях отслеживания.
Это событие регистрируется при запуске службы времени Windows (W32Time) и записывает сведения о текущем времени, текущем счетчике галок, конфигурации среды выполнения, поставщиках времени и текущей частоте часов.
| Описание события |
Запуск службы |
| Сведения |
Происходит при запуске W32Time |
| Зарегистрированные данные |
- Текущее время в формате UTC
- Текущий счетчик тактов
- Конфигурация W32Time
- Конфигурация поставщика времени
- Тактовая частота
|
| Механизм регулирования |
Нет. Это событие происходит при каждом запуске службы. |
Пример:
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
Команда:
Эти сведения также можно запросить с помощью следующих команд.
W32Time и конфигурация поставщика времени
w32tm.exe /query /configuration
Тактовая частота
w32tm.exe /query /status /verbose
Это событие регистрируется при остановке службы времени Windows (W32Time) и записывает информацию о текущем времени и количестве тактов.
| Описание события |
Остановка службы |
| Сведения |
Происходит при выключении W32time |
| Зарегистрированные данные |
- Текущее время в формате UTC
- Текущий счетчик тактов
|
| Механизм регулирования |
Нет. Это событие срабатывает при каждой остановке службы. |
Пример текста:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
Это событие периодически записывает текущий список источников времени и выбранный источник времени. Он также регистрирует текущее число галок. Это событие не запускается при каждом изменении источника времени. Эту функциональность предоставляют другие события, перечисленные далее в этом документе.
| Описание события |
Периодическое состояние поставщика NTP-клиента |
| Сведения |
Список источников времени, используемых клиентом NTP |
| Зарегистрированные данные |
- Доступные источники времени
- Выбранный сервер отсчета времени на момент ведения журнала
- Текущий счетчик тактов
|
| Механизм регулирования |
Заносится в журнал каждые 8 часов. |
Пример текста: периодическое состояние поставщика клиента NTP:
Клиент NTP получает данные о времени от следующих серверов NTP:
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); и выбранный эталонный сервер времени — server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63). 13187937 счетчика системных галок
Команда. Эти сведения также можно запросить с помощью следующих команд.
Идентифицировать узлыw32tm.exe /query /peers
| Описание события |
Конфигурация и состояние службы времени |
| Сведения |
Служба W32Time периодически регистрирует данные о своих конфигурации и состоянии. Это эквивалент вызова:
w32tm /query /configuration /verbose
ИЛИ
w32tm /query /status /verbose |
| Механизм регулирования |
Заносится в журнал каждые 8 часов. |
Это событие регистрирует каждую модификацию системного времени с помощью API SetSystemTime.
| Описание события |
Системное время задано. |
| Механизм регулирования |
Нет. Это событие должно происходить редко в системах с разумной синхронизацией времени, и мы хотим регистрировать его каждый раз при возникновении. Параметр TimeJumpAuditOffset следует игнорировать при регистрации этого события, так как он предназначен для регулирования событий в журнале системных событий Windows. |
| Описание события |
Частота системных часов скорректирована. |
| Сведения |
Служба W32Time постоянно изменяет частоту системных часов, если синхронизация часов происходит часто. Нам необходимо получить значимые изменения частоты часов без перезапуска журнала событий. |
| Механизм регулирования |
Все корректировки часов ниже TimeAdjustmentAuditThreshold (мин. = 128 частей на миллион, по умолчанию = 800 частей на миллион) не регистрируются. Изменение тактовой частоты на 2 ppm с текущей степенью детализации приводит к изменению точности часов на 120 мкс/с. В синхронизированной системе большинство параметров ниже этого уровня. Если требуется более точное отслеживание, этот параметр можно скорректировать, уменьшив значение, или использовать PerfCounters. Также можно выполнить оба действия. |
| Описание события |
Изменение параметров службы времени или списка загруженных поставщиков времени. |
| Сведения |
Повторное чтение параметров W32Time может привести к изменению определенных критических параметров в памяти, что может повлиять на общую точность синхронизации времени.
W32time регистрирует каждое событие при повторном чтении его параметров, что может повлиять на синхронизацию времени. |
| Механизм регулирования |
Нет.
Это событие происходит только тогда, когда администратор или обновление групповой политики изменяют поставщиков времени, а затем активируют W32Time. Мы хотим записывать каждый случай изменений параметров. |
| Описание события |
Изменение источников времени, используемых клиентом NTP |
| Сведения |
Клиент NTP записывает событие с текущим состоянием серверов времени или одноранговых узлов, когда изменяется состояние сервера времени или однорангового узла (ожидание - синхронизация, синхронизация — недоступно, или другие переходы) |
| Механизм регулирования |
Максимальная частота — только один раз в 5 минут для защиты журнала от временных проблем и неправильной реализации поставщика. |
| Описание события |
Изменение источника или номера страты службы времени. |
| Сведения |
Источник времени W32time и номер стратума являются важными факторами трассировки времени, и любые изменения в них должны быть зарегистрированы. Если W32time не имеет источника времени и вы не настроили его в качестве надежного источника времени, то он прекращает объявление в качестве сервера времени и по умолчанию отвечает на запросы с некоторыми недействительными параметрами. Это событие важно для отслеживания изменений состояния в топологии NTP. |
| Механизм регулирования |
Нет. |
| Описание события |
Запрашивается повторная синхронизация времени |
| Сведения |
Эта операция активируется:- при изменении сети;
- Система возвращается из состояния подключенного ожидания или гибернации.
- если в течение длительного времени не выполнялась синхронизация;
- администратор отправил команду повторной синхронизации.
Эта операция приводит к немедленной утрате точности синхронизации времени, так как NTP-клиент очищает свои фильтры. |
| Механизм регулирования |
Максимальная частота — каждые 5 минут.
Возможно, что плохая сетевая карта (или плохой сценарий) может многократно активировать эту операцию и привести к перегрузке журналов. Следовательно, это событие необходимо ограничивать.
Для достижения точной синхронизации времени требуется гораздо более 5 минут, и регулирование не теряет сведения о исходном событии, которое привело к потере точности времени. |