Windows 事件日志事件“6”消息中的“DeviceTime”是什么意思

tag-icon tag-icon windows event-log
Windows 事件日志事件“6”消息中的“DeviceTime”是什么意思

在检查 Windows 10 上发生的一些有趣事件时,我阅读了窗口事件日志。我看到了一些类似日期的字符串(例如:),2080-03-16T14:57:52这让我感到疑惑(德语的文本消息是“系统过滤器“wcifs”(10.0,‎2080‎-‎03‎-‎16T14:57:52.000000000Z)已成功加载并已在 Filter-Manager 注册表中注册。“):一开始我以为这可能是驱动程序的构建日期,但后来要么是编码有严重错误,要么是构建机器的日期肯定是未来几年的事情。

以下仅是 XML 表示的事件日志的两个示例:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-FilterManager" Guid="{f3c5e28e-63f6-49c7-a204-e48a1bc4b09d}" />
    <EventID>6</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2021-09-05T18:22:10.5031076Z" />
    <EventRecordID>23122</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="144" />
    <Channel>System</Channel>
    <Computer>I74X4W7</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="FinalStatus">0x0</Data>
    <Data Name="DeviceVersionMajor">10</Data>
    <Data Name="DeviceVersionMinor">0</Data>
    <Data Name="DeviceNameLength">5</Data>
    <Data Name="DeviceName">wcifs</Data>
    <Data Name="DeviceTime">2080-03-16T14:57:52.0000000Z</Data>
  </EventData>
</Event>

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-FilterManager" Guid="{f3c5e28e-63f6-49c7-a204-e48a1bc4b09d}" />
    <EventID>6</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2021-09-05T18:22:10.5201158Z" />
    <EventRecordID>23124</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="272" />
    <Channel>System</Channel>
    <Computer>I74X4W7</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="FinalStatus">0x0</Data>
    <Data Name="DeviceVersionMajor">10</Data>
    <Data Name="DeviceVersionMinor">0</Data>
    <Data Name="DeviceNameLength">6</Data>
    <Data Name="DeviceName">CldFlt</Data>
    <Data Name="DeviceTime">2098-12-15T18:56:43.0000000Z</Data>
  </EventData>
</Event>

那么这些DeviceTime字符串实际上意味着什么?

答案1

答案:事件数据中的 DeviceTime 与系统时间无关。它是微筛选器驱动程序选择放入其中的内容,可能转换为对编写该驱动程序的开发人员有意义的二进制数据。

我检查了我的计算机,发现有来自和的完全相同的事件消息,wcifs.sys并且CldFlt.sys带有完全相同的虚假 DeviceTime 值:

在此处输入图片描述 在此处输入图片描述

我建议忽略这些值。只有开发人员可以解释它们(我希望他可以……)。

相关内容