在許多行業中,系統需可追溯至 UTC 以滿足法規要求。 這表示系統的位移可在 UTC 方面得到證實。 為了支援法規遵循案例,Windows 10 (1703 版或更新版本) 和 Windows Server 2016 (1709 版或更新版本) 提供了新的事件記錄檔,以從作業系統的角度解說對於系統時鐘所應採取的動作。 這些事件記錄檔會針對 Windows Time 服務持續產生,且您可加以查看或封存,以供日後分析之用。
這些新的事件可解答下列問題:
- 系統時鐘是否有所改變
- 時脈頻率是否已修改
- Windows Time 服務組態是否已修改
Availability
這些改良功能包含在 Windows 10 1703 版或更新版本,以及 Windows Server 2016 1709 版或更新版本中。
Configuration
不需進行任何設定即可實作這項功能。 這些事件記錄檔預設為啟用,且可在事件檢視器中從 Applications and Services Log\Microsoft\Windows\Time-Service\Operational 通道加以存取。
事件記錄檔清單
下一節將概述會記錄哪些事件以供可追蹤性案例使用。
系統會在 Windows Time 服務 (W32Time) 啟動時記錄此事件,其中記錄目前時間、目前刻度計數、執行階段設定、時間提供者和目前時脈速率的相關資訊。
| 事件描述 |
服務啟動 |
| Details |
在 W32time 啟動時發生 |
| 記錄的資料 |
- 以 UTC 表示的目前時間
- 目前刻度計數
- W32Time 組態
- 時間提供者組態
- 時脈速率
|
| 節流機制 |
None. 每當服務啟動時就會引發此事件。 |
Example:
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
Command:
您也可以使用下列命令來查詢這項資訊
W32Time 和時間提供者設定
w32tm.exe /query /configuration
時脈速率
w32tm.exe /query /status /verbose
系統會在 Windows Time 服務 (W32Time) 停止時記錄此事件,其中記錄目前時間和刻度計數的相關資訊。
| 事件描述 |
服務停止 |
| Details |
在 W32time 關閉時發生 |
| 記錄的資料 |
|
| 節流機制 |
None. 每當服務停止時就會引發此事件。 |
範例文字:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
此事件會定期記錄其目前的時間來源清單及其選擇的時間來源。 也會記錄目前刻度計數。 此事件並不會在每次時間來源變更時引發。 此功能會由本文件中稍後列出的其他事件提供。
| 事件描述 |
NTP 用戶端提供者定期狀態 |
| Details |
列出 NTP 用戶端所使用的時間來源 |
| 記錄的資料 |
- 可用的時間來源
- 記錄時選擇的參考時間伺服器
- 目前刻度計數
|
| 節流機制 |
每 8 小時記錄一次。 |
範例文字: NTP 用戶端提供者定期狀態:
NTP 用戶端正在接收來自下列 NTP 伺服器的時間資料:
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123);選擇的參考時間伺服器為 Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63)。 系統刻度計數 13187937
命令 您也可以使用下列命令來查詢這項資訊
識別對等項w32tm.exe /query /peers
| 事件描述 |
時間服務組態和狀態 |
| Details |
W32time 會定期記錄其組態和狀態。 這相當於執行呼叫:
w32tm /query /configuration /verbose
OR
w32tm /query /status /verbose |
| 節流機制 |
每 8 小時記錄一次。 |
此事件會在使用 SetSystemTime API 修改系統時間時記錄每個實例。
| 事件描述 |
已設定系統時間 |
| 節流機制 |
None. 在正常進行時間同步處理的系統上應該鮮少發生這種情況,而一旦發生,我們即應加以記錄。 我們在記錄此事件時會忽略 TimeJumpAuditOffset 設定,因為該設定的目的是要節流 Windows 系統事件記錄檔中的事件。 |
| 事件描述 |
系統時脈頻率已調整 |
| Details |
當時鐘接近同步時,W32time 會持續修改系統時脈頻率。 我們希望能在不超過事件記錄檔的容量的前提下,記錄對時脈頻率的「合理顯著」調整。 |
| 節流機制 |
所有低於 TimeAdjustmentAuditThreshold (最小值 = 百萬分之 128,預設值 = 百萬分之 800) 的時脈調整,都不會列入記錄。 若時脈頻率的目前精細度變更了 2 PPM,則時鐘準確性會改變 120 微秒/秒。 在同步化系統上,多數調整都會低於此層級。 如果您想要更細微的追蹤,您可以調整這項設定,或是使用效能計數器,或兩者同時進行。 |
| 事件描述 |
時間服務設定或載入的時間提供者清單有所變更。 |
| Details |
重新讀取 W32time 設定,可能會導致在記憶體中修改某些重要設定,而這可能會影響時間同步處理的整體準確度。
W32time 記錄每次重新讀取其設定的情形,以說明對時間同步可能造成的影響。 |
| 節流機制 |
None.
只有在系統管理員或 GP 更新變更了時間提供者,然後觸發 W32time 時,才會發生此事件。 我們應記錄設定變更的每個實例。 |
| 事件描述 |
NTP 用戶端所使用的時間來源有所變更 |
| Details |
當時間伺服器/對等項變更狀態 (擱置 -> 同步、同步 -> 無法連線,或其他轉換) 時,NTP 用戶端會記錄時間伺服器/對等項現行狀態的事件 |
| 節流機制 |
為了保護日誌不受暫時性問題影響或因提供者的不當實作,最大頻率限制為每 5 分鐘一次。 |
| 事件描述 |
時間服務來源或階層號碼有所變更 |
| Details |
W32time 的時間來源和階層號碼是時間可追蹤性的重要因素,若有變更皆必須記錄。 如果 W32time 沒有時間來源,且您未將其設定為可靠的時間來源,則其會停止宣告自己為時間伺服器,並會依設計以某些無效參數回應請求。 此事件對於追蹤 NTP 拓撲中的狀態變更而言非常重要。 |
| 節流機制 |
None. |
| 事件描述 |
要求重新同步時間 |
| Details |
此作業會在下列情況下觸發:- 發生網路變更時
- 系統從連線待命/休眠狀態回復
- 當我們長時間未同步時
- 系統管理員發出重新同步命令
此作業會導致 NTP 用戶端清除其篩選器,因而立即失去精細的時間同步準確度。 |
| 節流機制 |
最大頻率 - 每 5 分鐘一次。
故障的網路卡 (或不當的指令碼) 有可能重複觸發此作業,並導致記錄湧入大量資料。 因此,必須對此事件進行限制。
精確的時間同步遠非 5 分鐘所能達成,而進行節流時,導致時間準確度喪失的原始事件並不會因此失去其相關資訊。 |