Freigeben über


Windows-Zeitdienst für Nachverfolgbarkeit.

Bestimmungen in vielen Sektoren erfordern, dass Systeme bezogen auf UTC ablaufverfolgbar sind. Dies bedeutet, dass die Abweichung eines Systems in Bezug auf die UTC nachgewiesen werden kann. Zum Aktivieren regulatorischer Complianceszenarien bieten Windows 10 (Version 1703 oder höher) und Windows Server 2016 (Version 1709 oder höher) neue Ereignisprotokolle, um ein Bild aus der Perspektive des Betriebssystems bereitzustellen und so ein Verständnis der an der Systemuhr vorgenommenen Aktionen zu erstellen. Diese Ereignisprotokolle werden fortlaufend für den Windows-Zeitdienst generiert und können untersucht sowie zur späteren Analyse archiviert werden.

Diese neuen Ereignisse ermöglichen die Beantwortung der folgenden Fragen:

  • Wurde die Systemuhr verändert?
  • Wurde die Taktfrequenz geändert?
  • Wurde die Konfiguration des Windows-Zeitdiensts geändert?

Verfügbarkeit

Diese Verbesserungen sind in Windows 10, Version 1703 oder höher, und Windows Server 2016, Version 1709 oder höher, enthalten.

Konfiguration

Zur Verwendung dieser Funktion ist keine Konfiguration erforderlich. Diese Ereignisprotokolle sind standardmäßig aktiviert und befinden sich in der Ereignisanzeige unter dem Kanal Anwendungs- und Dienstprotokolle\Microsoft\Windows\Time-Service\Operational.

Liste der Ereignisprotokolle

Im folgenden Abschnitt werden die Ereignisse beschrieben, die für die Verwendung in Ablaufverfolgungsszenarien protokolliert werden.

Dieses Ereignis wird protokolliert, wenn der Windows-Zeitdienst (W32Time) startet und Informationen zur aktuellen Zeit, zur aktuellen Taktanzahl, zur Laufzeitkonfiguration, zu Zeitanbietern und zur aktuellen Taktfrequenz protokolliert.

Ereignisbeschreibung Dienststart
Details Tritt beim Start von W32Time auf.
Protokollierte Daten
  • Aktuelle Zeit in UTC
  • Aktuelle Taktanzahl
  • W32Time-Konfiguration
  • Zeitanbieterkonfiguration
  • Taktfrequenz
Drosselungsmechanismus Keine. Dieses Ereignis wird bei jedem Start des Diensts ausgelöst.

Beispiel:

W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.

Befehl:

Diese Informationen können auch mithilfe der folgenden Befehle abgefragt werden.

W32Time- und Zeitanbieterkonfiguration

w32tm.exe /query /configuration

Taktfrequenz

w32tm.exe /query /status /verbose