많은 섹터의 규정을 준수하려면 시스템을 UTC로 추적할 수 있어야 합니다. 이는 시스템의 오프셋이 UTC와 관련하여 증명될 수 있음을 의미합니다. 규정 준수 시나리오가 가능하도록, Windows 10(버전 1703 이상) 및 Windows Server 2016(버전 1709 이상)에는 시스템 클록에서 수행된 작업을 이해하기 위해 운영 체제 관점에서 그림을 제공하는 새로운 이벤트 로그가 제공됩니다. 이러한 이벤트 로그는 Windows 시간 서비스를 위해 지속적으로 생성되며 검사하거나 나중에 분석하기 위해 보관할 수 있습니다.
이러한 새로운 이벤트를 통해 다음 질문에 답변할 수 있습니다.
시스템 클록이 변경되었는지
클록 주파수가 수정되었는지
Windows 시간 서비스 구성이 수정되었는지
가용성
이러한 개선 사항은 Windows 10 버전 1703 이상 및 Windows Server 2016 버전 1709 이상에 포함되어 있습니다.
구성
이 기능을 구현하기 위한 구성은 필요하지 않습니다 이 이벤트 로그는 기본적으로 활성화되어 있으며, Applications and Services Log\Microsoft\Windows\Time-Service\Operational 채널 아래 이벤트 뷰어에서 찾을 수 있습니다.
이 이벤트는 Windows 시간 서비스(W32Time)가 시작될 때 기록되며, 현재 시간, 현재 틱 수, 런타임 구성, 시간 공급자 및 현재 클록 속도에 대한 정보를 기록합니다.
이벤트 설명
서비스 시작
세부 정보
W32time 시작 시 발생
기록되는 데이터
현재 시간(UTC)
현재 틱 수
W32Time 구성
시간 공급자 구성
클록 속도
제한 메커니즘
없음 이 이벤트는 서비스가 시작될 때마다 발생합니다.
예제:
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
명령:
다음 명령을 사용하여 이 정보를 쿼리할 수도 있습니다.
W32Time 및 시간 공급자 구성
w32tm.exe /query /configuration
클록 속도
w32tm.exe /query /status /verbose
이 이벤트는 Windows 시간 서비스(W32Time)가 중지될 때 기록되고 현재 시간 및 틱 수에 대한 정보를 기록합니다.
이벤트 설명
서비스 중지
세부 정보
W32time 종료 시 발생
기록되는 데이터
현재 시간(UTC)
현재 틱 수
제한 메커니즘
없음 이 이벤트는 서비스가 중지될 때마다 발생합니다.
예제 텍스트:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
이 이벤트는 현재 시간 소스와 선택한 시간 소스를 주기적으로 기록합니다. 또한 현재 틱 수를 기록합니다. 이 이벤트는 시간 원본이 변경될 때마다 발생되지 않습니다. 이 기능은 이 문서의 뒷부분에 나오는 다른 이벤트가 제공합니다.
이벤트 설명
NTP 클라이언트 공급자의 정기적인 상태
세부 정보
NTP 클라이언트가 사용하는 시간 원본 목록
기록되는 데이터
사용 가능한 시간 소스
기록 시 선택된 참조 시간 서버
현재 틱 수
제한 메커니즘
8시간마다 한 번씩 기록됩니다.
예제 텍스트: NTP 클라이언트 공급자 주기적 상태:
NTP 클라이언트는 다음 NTP 서버에서 시간 데이터를 수신하고 있습니다.
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); 그리고 선택한 참조 시간 서버는 Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63)입니다. 시스템 틱 수 13187937
명령 다음 명령을 사용하여 이 정보를 쿼리할 수도 있습니다.
Identify Peersw32tm.exe /query /peers
이벤트 설명
시간 서비스 구성 및 상태
세부 정보
W32time은 구성 및 상태를 주기적으로 기록합니다. 이것은 다음을 호출하는 것과 같습니다.
w32tm /query /configuration /verbose 또는 w32tm /query /status /verbose
제한 메커니즘
8시간마다 한 번씩 기록됩니다.
이 이벤트는 SetSystemTime API를 사용하여 시스템 시간이 수정될 때마다 각 인스턴스를 기록합니다.
이벤트 설명
시스템 시간이 설정됨
제한 메커니즘
없음
이 이벤트는 합리적인 시간 동기화가 이루어진 시스템에서는 드물게 발생해야 하며, 발생할 때마다 이를 기록하고자 합니다. 이벤트를 기록하는 동안 TimeJumpAuditOffset 설정은 무시합니다. 이 설정은 Windows 시스템 이벤트 로그에서 이벤트를 조절하기 위한 것이기 때문입니다.
이벤트 설명
시스템 클록 주파수 조정됨
세부 정보
시스템 클록 주파수는 클록이 밀접하게 동기화되는 경우 W32time에 의해 지속적으로 수정됩니다. 이벤트 로그를 오버런하지 않고 클록 주파수에 대해 "합리적으로 중요한" 조정을 캡처하려고 합니다.
제한 메커니즘
TimeAdjustmentAuditThreshold(최소 = 128ppm(백만분율)), 기본값 = 800ppm) 이하의 모든 클록 조정은 기록되지 않습니다.
현재 세분성으로 클록 주파수에서 2PPM이 변경되면 클록 정확도가 120µsec/sec로 변경됩니다.
동기화된 시스템에서 대부분의 조정은 이 수준보다 낮습니다. 보다 세부적인 추적이 필요한 경우, 이 설정을 하향 조정하거나 PerfCounters를 사용하거나 두 가지를 모두 수행할 수 있습니다.
이벤트 설명
시간 서비스 설정 또는 로드된 시간 공급자 목록을 변경합니다.
세부 정보
W32time 설정을 다시 읽으면 특정한 중요 설정이 메모리 내에서 수정되어 시간 동기화의 전반적인 정확도에 영향을 줄 수 있습니다.
W32time은 설정을 다시 읽을 때마다 각 발생을 기록하며, 이는 시간 동기화에 잠재적인 영향을 줍니다.
제한 메커니즘
없음
이 이벤트는 관리자 또는 GP 업데이트가 시간 공급자를 변경한 다음, W32time을 트리거하는 경우에만 발생합니다. 설정 변경의 각 인스턴스를 기록하려고 합니다.
이벤트 설명
NTP 클라이언트가 사용하는 시간 원본 변경
세부 정보
NTP 클라이언트는 시간 서버/피어의 상태가 변경될 때(보류 중 ->동기화, 동기화 ->접근 불가 또는 기타 전환) 시간 서버/피어의 현재 상태와 함께 이벤트를 기록합니다.
제한 메커니즘
최대 빈도 – 일시적인 문제 및 잘못된 공급자 구현으로부터 로그를 보호하기 위해 5분에 한 번씩만.
이벤트 설명
시간 서비스 소스 또는 계층 번호 변경
세부 정보
W32time 시간 원본 및 계층 번호는 시간 추적 기능의 중요한 요소이며 이에 대한 변경 사항은 반드시 기록해야 합니다. W32time에 시간 원본이 없고 신뢰할 수 있는 시간 원본으로 구성하지 않으면, 시간 서버로 보급하는 것이 중단되고 설계상 일부 잘못된 매개 변수로 요청에 응답하게 됩니다. 이 이벤트는 NTP 토폴로지에서 상태 변경을 추적하는 데 중요합니다.
제한 메커니즘
없음
이벤트 설명
시간 재동기화가 요청됨
세부 정보
이 작업이 트리거되는 경우:
네트워크 변경이 발생하는 경우
연결된 대기/최대 절전 모드에서 시스템 복귀하는 경우
오랫동안 동기화하지 않은 경우
관리자가 다시 동기화 명령을 실행하는 경우
이 작업을 수행하면 NTP 클라이언트가 필터를 지우기 때문에 미세한 시간 동기화 정확도가 즉시 손실됩니다.
제한 메커니즘
최대 빈도-5분에 한 번
불량 네트워크 카드(또는 잘못된 스크립트)로 인해 작업이 반복적으로 트리거되어 로그가 지나치게 많이 발생할 수 있습니다. 따라서 이런 이벤트를 제한해야 합니다.
정확한 시간 동기화에는 5분보다 훨씬 긴 시간이 소요되며, 제한이 시간 정확도 손실을 초래한 원래 이벤트에 대한 정보를 잃게 만들지 않습니다.