適用於可追蹤性的 Windows Time
本文內容
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016 版本 1709 或更新版本、Windows 10 版本 1703 及更新版本、Azure Stack HCI 版本 21H2 和 20H2
在許多磁區中,都必須仰賴 UTC 對系統的追蹤來符合法規。 這表示系統的位移可在 UTC 方面得到證實。 為了支援法規遵循案例,Windows 10 (1703 版或更新版本) 和 Windows Server 2016 (1709 版或更新版本) 提供了新的事件記錄檔,以從作業系統的角度解說對於系統時鐘所應採取的動作。 這些事件記錄檔會針對 Windows Time 服務持續產生,且您可加以查看或封存,以供日後分析之用。
這些新的事件可解答下列問題:
系統時鐘是否有所改變
時脈頻率是否已修改
Windows Time 服務組態是否已修改
可用性
這些改良功能包含在 Windows 10 1703 版或更新版本,以及 Windows Server 2016 1709 版或更新版本中。
組態
不需進行任何設定即可實作這項功能。 這些事件記錄檔預設為啟用,且可在事件檢視器中從 Applications and Services Log\Microsoft\Windows\Time-Service\Operational 通道加以存取。
事件記錄檔清單
下一節將概述會記錄哪些事件以供可追蹤性案例使用。
系統會在 Windows Time 服務 (W32Time) 啟動時記錄此事件,其中記錄目前時間、目前刻度計數、執行階段設定、時間提供者和目前時脈速率的相關資訊。
事件描述
服務啟動
詳細資料
在 W32time 啟動時發生
記錄的資料
以 UTC 表示的目前時間 目前刻度計數 W32Time 組態 時間提供者組態 時脈速率
節流機制
無。 每當服務啟動時就會引發此事件。
範例:
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
命令:
您也可以使用下列命令來查詢這項資訊
W32Time 和時間提供者組態
w32tm.exe /query /configuration
時脈速率
w32tm.exe /query /status /verbose
系統會在 Windows Time 服務 (W32Time) 停止時記錄此事件,其中記錄目前時間和刻度計數的相關資訊。
事件描述
服務停止
詳細資料
在 W32time 關閉時發生
記錄的資料
節流機制
無。 每當服務停止時就會引發此事件。
範例文字: W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
此事件會定期記錄其目前的時間來源清單及其選擇的時間來源。 也會記錄目前刻度計數。 此事件並不會在每次時間來源變更時引發。 此功能會由本文件中稍後列出的其他事件提供。
事件描述
NTP 用戶端提供者定期狀態
詳細資料
列出 NTP 用戶端所使用的時間來源
記錄的資料
可用的時間來源 記錄時選擇的參考時間伺服器 目前刻度計數
節流機制
每 8 小時記錄一次。
範例文字: NTP 用戶端提供者定期狀態:
NTP 用戶端正在接收來自下列 NTP 伺服器的時間資料:
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123);選擇的參考時間伺服器為 Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63)。 系統刻度計數 13187937
命令 您也可以使用下列命令來查詢這項資訊
識別對等項 w32tm.exe /query /peers
事件描述
時間服務組態和狀態
詳細資料
W32time 會定期記錄其組態和狀態。 其效用相當於呼叫:w32tm /query /configuration /verbosew32tm /query /status /verbose
節流機制
每 8 小時記錄一次。
此事件會在使用 SetSystemTime API 修改系統時間時記錄每個實例。
事件描述
已設定系統時間
節流機制
無。在正常進行時間同步處理的系統上應該鮮少發生這種情況,而一旦發生,我們即應加以記錄。 我們在記錄此事件時會忽略 TimeJumpAuditOffset 設定,因為該設定的目的是要節流 Windows 系統事件記錄檔中的事件。
事件描述
系統時脈頻率已調整
詳細資料
當時鐘緊密同步處理時,W32time 會持續修改系統時脈頻率。 我們應在事件記錄檔不滿溢的情況下,擷取對時脈頻率的「相當程度」調整。
節流機制
所有低於 TimeAdjustmentAuditThreshold (最小值 = 百萬分之 128,預設值 = 百萬分之 800) 的時脈調整,都不會列入記錄。具有目前細微性的時脈頻率若有 2 PPM 的變更,時鐘準確度將會產生 120 微秒/秒的變更。
在同步化系統上,多數調整都會低於此層級。 如果您想要更細微的追蹤,您可以調整這項設定,或是使用效能計數器,或兩者同時進行。
事件描述
時間服務設定或載入的時間提供者清單有所變更。
詳細資料
重新讀取 W32time 設定,可能會導致在記憶體中修改某些重要設定,而這可能會影響時間同步處理的整體準確度。
節流機制
無。
事件描述
NTP 用戶端所使用的時間來源有所變更
詳細資料
當時間伺服器/對等項變更狀態 (擱置 -> 同步 、同步 -> 無法連線 ,或其他轉換) 時,NTP 用戶端會記錄時間伺服器/對等項現行狀態的事件
節流機制
最大頻率 - 每 5 分鐘僅一次,以防止記錄發生暫時性問題以及進行不當的提供者實作。
事件描述
時間服務來源或階層號碼有所變更
詳細資料
W32time 的時間來源和階層號碼是時間可追蹤性的重要因素,若有變更皆必須記錄。 如果 W32time 沒有時間來源,且您未將其設定為可靠的時間來源,則其會停止宣告為時間伺服器,並依設計會回應具有某些無效參數的要求。 此事件對於追蹤 NTP 拓撲中的狀態變更而言非常重要。
節流機制
無。
事件描述
要求時間重新同步處理
詳細資料
此作業會在下列情況下觸發:發生網路變更時 系統從連線待命/休眠狀態回復 長時間未同步處理時 系統管理員發出重新同步命令
節流機制
最大頻率 - 每 5 分鐘一次。