Использование службы времени Windows для отслеживания
Статья
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016 версии 1709 или более поздней, а также Windows 10 версии 1703 или более поздней версии, Azure Stack HCI, версии 21H2 и 20H2
Согласно нормативам во многих сферах требуются системы для отслеживания в формате UTC. Это означает, что должно подтверждаться определенное смещение времени системы относительно UTC. Согласно сценариям соответствия нормативным требованиям Windows 10 (версии 1703 и более поздних версий) и Windows Server 2016 (версия 1709 и более поздних версий) предоставляют новые журналы событий, чтобы описать картину с точки зрения операционной системы и сформировать понимание действий, выполняемых в системных часах. Эти журналы событий создаются постоянно для службы времени Windows. Их можно проверять и архивировать для последующего анализа.
Новые события позволяют получить ответы на следующие вопросы:
изменились ли системные часы;
изменилась ли тактовая частота;
изменилась ли конфигурация Службы времени Windows.
Availability
Эти улучшения включены в Windows 10 версии 1703 и более поздние версии, а также в Windows Server 2016 версии 1709 и более поздние версии.
Настройка
Чтобы использовать эту возможность, дополнительная настройка не требуется. Создание журналов событий включено по умолчанию, и их можно найти в средстве просмотра событий в канале Applications and Services Log\Microsoft\Windows\Time-Service\Operational.
Список журналов событий
В следующем разделе описываются события, регистрируемые для использования в сценариях отслеживания.
Это событие регистрируется при запуске службы времени Windows (W32Time) и записывает сведения о текущем времени, текущем счетчике галок, конфигурации среды выполнения, поставщиках времени и текущей частоте часов.
Описание события
Запуск службы
Сведения
Происходит при запуске W32Time
Зарегистрированные данные
Текущее время в формате UTC
Текущий счетчик тактов
Конфигурация W32Time
Конфигурация поставщика времени
Частота синхронизации
Механизм регулирования
Нет. Это событие происходит при каждом запуске службы.
Пример:
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
Команда.
Эти сведения также можно запросить с помощью следующих команд.
W32Time и конфигурация поставщика времени
w32tm.exe /query /configuration
Частота синхронизации
w32tm.exe /query /status /verbose
Это событие регистрируется при остановке службы времени Windows (W32Time) и записывает сведения о текущем времени и частоте синхронизации.
Описание события
Остановка службы
Сведения
Происходит при остановке W32Time
Зарегистрированные данные
Текущее время в формате UTC
Текущий счетчик тактов
Механизм регулирования
Нет. Это событие срабатывает при каждой остановке службы.
Пример текста:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
С этим событием периодически регистрируется текущий список источников времени и выбранный источник времени. Он также регистрирует текущее число галок. Это событие не запускается при каждом изменении источника времени. Эту функциональность предоставляют другие события, перечисленные далее в этом документе.
Описание события
Периодическое состояние поставщика NTP-клиента
Сведения
Список источников времени, используемых клиентом NTP
Зарегистрированные данные
Доступные источники времени
Выбранный сервер отсчета времени на момент ведения журнала
Текущий счетчик тактов
Механизм регулирования
Заносится в журнал каждые 8 часов.
Пример текста: периодическое состояние поставщика клиента NTP:
Ntp Client is receiving time data from the following NTP Servers:
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); и выбранный сервер времени ссылки — Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63). System Tick Count 13187937
Команда. Эти сведения также можно запросить с помощью следующих команд.
Служба W32Time периодически регистрирует данные о своих конфигурации и состоянии. Это эквивалент вызова:
w32tm /query /configuration /verbose ИЛИ w32tm /query /status /verbose
Механизм регулирования
Заносится в журнал каждые 8 часов.
Это событие регистрирует каждый экземпляр при изменении системного времени с помощью API SetSystemTime.
Описание события
Системное время задано.
Механизм регулирования
Нет.
Это событие должно происходить редко в системах с разумной синхронизацией времени, и мы хотим регистрировать его каждый раз при возникновении. Параметр TimeJumpAuditOffset следует игнорировать при регистрации этого события, так как он предназначен для регулирования событий в журнале системных событий Windows.
Описание события
Частота системных часов скорректирована.
Сведения
Служба W32Time постоянно изменяет частоту системных часов, если синхронизация часов происходит часто. Нам необходимо получить значимые изменения частоты часов без перезапуска журнала событий.
Механизм регулирования
Все корректировки часов ниже TimeAdjustmentAuditThreshold (min = 128 частей в миллион, по умолчанию = 800 частей на миллион) не регистрируются.
Изменения частоты часов на 2 доли в минуту с текущей степенью детализации добавляет 120 мкс/с к точности часов.
В синхронизированной системе большинство параметров ниже этого уровня. Если требуется более точное отслеживание, этот параметр можно скорректировать, уменьшив значение, или использовать PerfCounters. Также можно выполнить оба действия.
Описание события
Изменение параметров службы времени или списка загруженных поставщиков времени.
Сведения
Повторное чтение параметров W32Time может привести к изменению определенных критических параметров в памяти, что может повлиять на общую точность синхронизации времени.
W32time регистрирует каждое вхождение при повторном просмотре параметров, что дает потенциальное влияние на синхронизацию времени.
Механизм регулирования
Нет.
Это событие возникает только тогда, когда администратор или групповая политика изменяют поставщиков времени, а затем активируют службу W32Time. Нам нужно записать каждый экземпляр изменения параметров.
Описание события
Изменение источников времени, используемых клиентом NTP
Сведения
Клиент NTP записывает событие с текущим состоянием серверов времени или одноранговых узлов, когда состояние сервера времени или однорангового изменения (ожидание ->Синхронизация, синхронизация —> недоступно или другие переходы)
Механизм регулирования
Максимальная частота — только один раз в 5 минут для защиты журнала от временных проблем и неправильной реализации поставщика.
Описание события
Изменение источника или номера страты службы времени.
Сведения
Источник времени W32time и номер стратума являются важными факторами трассировки времени, и любые изменения в них должны быть зарегистрированы. Если W32time не имеет источника времени, и вы не настроили в качестве надежного источника времени, то она остановит рекламу в качестве сервера времени, и путем разработки отвечает на запросы с некоторыми недопустимыми параметрами. Это событие важно для отслеживания изменений состояния в топологии NTP.
Механизм регулирования
Нет.
Описание события
Запрашивается повторная синхронизация времени
Сведения
Эта операция активируется:
при изменении сети;
если система восстанавливается из подключенного режима ожидания или гибернации;
если в течение длительного времени не выполнялась синхронизация;
администратор отправил команду повторной синхронизации.
Эта операция приводит к немедленной утрате точности синхронизации времени, так как NTP-клиент очищает свои фильтры.
Механизм регулирования
Максимальная частота — каждые 5 минут.
Возможно, что плохая сеть карта (или плохой скрипт) может многократно активировать эту операцию и привести к перегрузке журналов. Следовательно, это событие необходимо регулировать.
Для достижения точной синхронизации времени требуется гораздо более 5 минут, и регулирование не теряет сведения о исходном событии, которое привело к потере точности времени.