我对 Windows 事件日志中显示的时区有疑问。
我读到过,如果我从另一台机器导出 Windows 事件日志并在具有不同时区的机器上打开它,则事件的时间将转换为我的时区。
场景是,我正在调试在 JST 时区设置的 VM 中发生的问题。当我在 IST 时区的本地计算机上打开文件时,我可以在 Windows 日志中看到这样的事件记录--
进程 C:\Program Files\Altek\Agent\bin\altekbin.exe (VERY1) 已代表用户 NT AUTHORITY\SYSTEM 启动计算机 VERY1 的关闭,原因如下:找不到与此原因相关的标题原因代码:0x3000c
记录时间:23-01-2020 18:20:13
由于我的机器上显示的时间是 18:20:13(采用 IST),因此我认为实际发生时间(采用 JST)是 21.50 JST。我的理解正确吗?这个时间戳转换对我来说有点混乱,所以如果有人能解答我的疑惑,我将不胜感激。
答案1
活动存储以 UTC 时间计算,但显示按您的当地时间。
操作系统始终使用 UTC 时间戳,但事件查看器(与其他程序一样)会将其转换为您的本地时区以供显示。无论 .evtx 文件是在本地生成的还是从具有其他时区的系统复制而来,它仍将使用 UTC 作为基准,Eventvwr 仍将调整为你的当地时间。
您可以在“详细信息”视图中找到带有时区指示器的时间戳:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<TimeCreated SystemTime="2020-03-10T07:18:23.000000000Z" />
...
</System>
</Event>
答案2
- 使用 FTKImager 提取 SYSTEM 配置单元 (Windows\System32\config)
- 使用 Registry Ripper 生成文本报告
- 在 Notepad++ 中使用 Ctrl+F 搜索关键字“timezone”(不带引号)
抱歉,我刚注意到这对您没有帮助...或者也许有帮助。