Log Name: System
Source: LsaSrv
Date: <date> <time>
Event ID: 45058
Task Category: Logon Cache
Level: Information
Keywords: Classic
User: N/A
Computer: computername.contoso.com
Description:
A logon cache entry for user [email protected] was the oldest entry and was removed. The timestamp of this entry was **MM/DD/YYYY HH:MM:SS**
鉴于上述示例 evtx 日志,时间戳时区是描述UTC?我的理解是实际事件日志的日期/时间是 UTC,我只是想确认描述中提供的日期和时间也是 UTC。这是一个 win2k8 操作系统。谢谢
答案1
该Date行以 UTC 格式记录事件时间戳。查看事件日志时,查看器会将时间戳调整为当前本地时区进行显示。
事件消息只是一个字符串。如果日志记录应用程序/服务在其中放置了时间戳,则该时间戳特定于该应用程序。它将反映该应用程序旨在报告的内容。