Вопрос или проблема
Я хотел отслеживать, когда системное время было изменено на ПК. Посмотрев в просмотр событий по идентификатору события 520, я получу эту информацию. Но когда я вручную изменил дату в Windows и посмотрел в просмотр событий, я нашел 4 записи для одного изменения даты.
Теперь в последней из этих 4 записей есть следующее описание
Системное время было изменено.
Идентификатор процесса: 1932
Имя процесса: C:\WINDOWS\system32\rundll32.exe
Основное имя пользователя: nav
Основной домен: PC132
Основной идентификатор входа: (0x0,0x115A0)
Имя клиента: nav
Домен клиента: PC132
Идентификатор входа клиента: (0x0,0x115A0)
Предыдущее время: 10:18:32 ДП 23/08/2013
Новое время: 10:18:32 ДП 24/08/2013
Все остальные три записи показывают
Системное время было изменено.
Идентификатор процесса: 1932
Имя процесса: C:\WINDOWS\system32\rundll32.exe
Основное имя пользователя: navaneeth a
Основной домен: PC132
Основной идентификатор входа: (0x0,0x115A0)
Имя клиента: navaneeth a
Домен клиента: PC132
Идентификатор входа клиента: (0x0,0x115A0)
Предыдущее время: 10:18:32 ДП 24/08/2013
Новое время: 10:18:32 ДП 24/08/2013
Каково значение этих 4 записей для изменения даты?
Есть ли какой-либо метод для получения истории или журнала изменений системной даты?
Чтобы объяснить идентификатор события -520 :
Имя процесса : Путь и имя процесса, который изменил время. Обычно это будет rundll32.exe (Панель управления), cmd.exe (команда времени) или svchost (если время было изменено системой в связи с службой синхронизации времени Windows или NTP)
Основное имя пользователя: Будет соответствовать локальной системе, если изменено автоматически; в противном случае будет указывать на фактического пользователя, если изменение произошло через панель управления или команду времени.
Основной домен : домен пользователя
Основной идентификатор входа: коррелирует с идентификатором входа в событии сеанса входа пользователя идентификатора события 528 или 540
Имя клиента : ваше имя для входа
Домен клиента : ваш внутренний домен
Идентификатор входа клиента : идентификатор входа
Предыдущее время: Предыдущее системное время
Новое время : Текущее измененное время
В дополнение к этому, четвертая запись имеет идентификатор события : 515
Согласно technet :
Эта запись события указывает на то, что процесс входа зарегистрировался в Локальной службе безопасности (LSA). Кроме того, запросы на вход теперь будут приниматься из этого источника. Процессы входа являются доверенными компонентами, отвечающими за сбор информации о идентификации и аутентификации от внешних устройств, таких как терминалы и сети. Они используют службы Локальной службы безопасности, чтобы входить в систему для этих пользователей. Один и тот же система может одновременно поддерживать несколько процессов входа.
Ваша системная дата
Кроме того, вы можете попробовать myeventviewer для отслеживания изменений.
Я думаю, что перезапись отключена в свойствах просмотра событий, поэтому журналы могут записываться несколько раз.
Ответ или решение
Отслеживание изменений системной даты в Windows XP
Отслеживание изменений системного времени в Windows XP можно осуществить через «Просмотр событий» (Event Viewer), где записываются события, связанные с изменением времени. В частности, вы упомянули событие с идентификатором 520, которое записывается каждый раз, когда системное время изменяется. Однако, как вы заметили, после ручного изменения времени могут появляться несколько записей.
Значение четырех записей при изменении даты
-
Событие с идентификатором 520: Каждая запись данного события отображает изменение системного времени. Ваша последняя запись описывает результат изменения, когда системное время было изменено, и включает следующую информацию:
- Процесс: название процесса, который изменил время. Обычно это
rundll32.exe, как в вашем случае. - Предыдущее время: время до изменения.
- Новое время: время, установленное после изменения.
- Процесс: название процесса, который изменил время. Обычно это
-
Первые три записи: Каждая из этих записей также указывает на изменение времени, но с теми же значениями как предыдущее, так и новое время (10:18:32 AM 8/24/2013). Это может произойти, если произошло несколько попыток изменения времени в краткие промежутки времени, и все они зарегистрированы отдельными событиями. Это может быть связано с тем, что установленность времени может происходить от различных процессов, а также из-за механизмов синхронизации времени системы.
-
Событие с идентификатором 515: Это событие указывает на регистрацию процесса входа в систему с использованием сведений о безопасности локальной службы (LSA). Оно подтверждает, что система принимает запросы на вход в систему от нового источника.
Создание истории изменений системной даты
Unfortunately, Windows XP не предлагает встроенного механизма для создания полной истории изменений системного времени за долгий период. Однако есть несколько методов, которые могут помочь в проведении такого мониторинга:
-
Использование сторонних утилит: В качестве альтернативы Вы можете рассмотреть использование сторонних программ. Одной из таких является MyEventViewer. Эта утилита упрощает просмотр и экспорт событий, что может облегчить анализ изменений времени.
-
Настройка параметров журнала событий: Проверьте настройки «Просмотра событий» и возможные параметры управления записью журнала. Если у вас отключено перезаписывание, как было упомянуто, события могут накапливаться и сохраняться вместо удаления.
-
Ручное ведение журнала: Если вам требуется более точный учет, вы можете создать скрипты или использовать Windows Task Scheduler для автоматического запуска мониторинга системного времени в заданные промежутки.
Заключение
Отслеживание изменений времени в Windows XP требует внимательного анализа событий в «Просмотре событий». Определенные параметры системы, такие как соответствующие идентификаторы событий, могут помочь вам понять, что происходило во время изменения времени. Использование сторонних утилит и возможность настройки системы могут значительно упростить данную задачу.