Я хотел отследить, когда системное время было изменено на ПК. Просматривая просмотрщик событий для идентификатора события 520, я получу его. Но когда я изменил дату вручную в окнах и посмотрел на просмотрщик событий, я нашел 4 записи для одного изменения даты.

Сейчас в 4 последних записях есть описание

The system time was changed.
 Process ID:    1932
 Process Name:  C:\WINDOWS\system32\rundll32.exe
 Primary User Name: nav
 Primary Domain:    PC132
 Primary Logon ID:  (0x0,0x115A0)
 Client User Name:  nav
 Client Domain: PC132
 Client Logon ID:   (0x0,0x115A0)
 Previous Time: 10:18:32 AM 8/23/2013
 New Time:  10:18:32 AM 8/24/2013

Все остальные три записи показывают

The system time was changed.
 Process ID:    1932
 Process Name:  C:\WINDOWS\system32\rundll32.exe
 Primary User Name: navaneeth a
 Primary Domain:    PC132
 Primary Logon ID:  (0x0,0x115A0)
 Client User Name:  navaneeth a
 Client Domain: PC132
 Client Logon ID:   (0x0,0x115A0)
 Previous Time: 10:18:32 AM 8/24/2013
 New Time:  10:18:32 AM 8/24/2013

Что означают эти 4 записи для изменения даты?

Также есть ли способ получить системную дату изменения истории или журнала?

1 ответ1

0

Чтобы объяснить событие с кодом -520:

Имя процесса : путь и имя процесса, который изменил время. Обычно это rundll32.exe (панель управления), cmd.exe (команда времени) или svchost (если время было изменено системой в связи со службой синхронизации времени Windows или NTP)

Основное имя пользователя: будет соответствовать локальной системе при автоматическом изменении; в противном случае будет идентифицирован фактический пользователь, если он будет изменен через панель управления или команду времени.

Основной домен : домен пользователя

Основной идентификатор входа в систему: соответствует идентификатору входа в систему в сеансе входа пользователя с идентификатором 528 или 540

Имя пользователя клиента : ваш логин

Клиентский домен : ваш внутренний домен

Идентификатор входа клиента : идентификатор входа

Предыдущее время: Предыдущее системное время

Новое время : Текущее измененное время

В дополнение к этому четвертая запись имеет идентификатор события: 515

Из технета :

Эта запись события указывает, что процесс входа в систему зарегистрирован в локальном центре безопасности (LSA). Кроме того, запросы на вход в систему теперь будут приниматься из этого источника.Процессы входа в систему являются доверенными компонентами, отвечающими за сбор идентификационной и аутентификационной информации от внешних устройств, таких как терминалы и сети. Они используют локальные службы безопасности для входа в систему этих пользователей. Одна система может одновременно поддерживать несколько процессов входа в систему.

Ваша системная дата

В качестве альтернативы вы можете попробовать myeventviewer для отслеживания изменений.

я думаю, перезапись отключена в свойствах средства просмотра событий, поэтому журналы могут регистрироваться несколько раз

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .