我想跟踪 PC 上的系统时间何时更改。通过查看事件查看器中的事件 ID 520,我可以找到它。但是当我在 Windows 中手动更改日期并查看事件查看器时,我发现单个日期更改有 4 个条目。
现在,在这 4 个条目中,最后一个条目有以下描述
The system time was changed.
Process ID: 1932
Process Name: C:\WINDOWS\system32\rundll32.exe
Primary User Name: nav
Primary Domain: PC132
Primary Logon ID: (0x0,0x115A0)
Client User Name: nav
Client Domain: PC132
Client Logon ID: (0x0,0x115A0)
Previous Time: 10:18:32 AM 8/23/2013
New Time: 10:18:32 AM 8/24/2013
其余三项均显示
The system time was changed.
Process ID: 1932
Process Name: C:\WINDOWS\system32\rundll32.exe
Primary User Name: navaneeth a
Primary Domain: PC132
Primary Logon ID: (0x0,0x115A0)
Client User Name: navaneeth a
Client Domain: PC132
Client Logon ID: (0x0,0x115A0)
Previous Time: 10:18:32 AM 8/24/2013
New Time: 10:18:32 AM 8/24/2013
这 4 个条目对于日期更改有何意义?
还有什么方法可以获取系统日期变更的历史记录或日志?
答案1
解释事件 ID -520:
进程名称:更改时间的进程的路径和名称。通常是 rundll32.exe(控制面板)、cmd.exe(时间命令)或 svchost(如果系统通过与 Windows 时间同步服务或 NTP 连接更改了时间)
主要用户名:若自动更改则与本地系统对应;若通过控制面板或时间命令更改则识别实际用户。
主域:用户的域
主登录 ID:与用户登录会话事件 ID 528 或 540 中的登录 ID 相关
客户端用户名:你的登录名
客户端域:您的内部域名
客户端登录 ID:登录 ID
上次:上次系统时间
新时代:当前修改时间
除此之外,第四个条目的事件 ID 为:515
从技术网:
此事件记录表明登录进程已向本地安全机构 (LSA) 注册。此外,现在将接受来自此来源的登录请求。登录进程是受信任的组件,负责从外部设备(如终端和网络)收集身份和身份验证信息。它们使用本地安全机构服务来让这些用户登录。单个系统可以同时支持多个登录进程。
您的系统日期
或者你可以尝试我的事件查看器继续跟踪变化。
我猜想事件查看器属性中禁用了覆盖,因此日志可能会被记录多次