Le normative di molti settori richiedono che i sistemi siano tracciabili per l'ora UTC. Ciò significa che l'offset di un sistema può essere attestato rispetto all'ora UTC. Per abilitare scenari di conformità alle normative, in Windows 10 (versione 1703 o successive) e Windows Server 2016 (versione 1709 o successive) sono disponibili nuovi registri eventi per fornire un'immagine dal punto di vista del sistema operativo per permettere di comprendere le azioni intraprese sul clock di sistema. Questi registri eventi vengono generati in modo continuo per il servizio Ora di Windows e possono essere esaminati o archiviati per un'analisi successiva.
Questi nuovi eventi permettono di rispondere ai quesiti seguenti:
Se il clock di sistema è stato modificato
Se la frequenza del clock è stata modificata
Se la configurazione del servizio Ora di Windows è stata modificata
Disponibilità
Questi miglioramenti sono inclusi in Windows 10 versione 1703 o successive e Windows Server 2016 versione 1709 o successive.
Configurazione
Per usare questa funzionalità non è necessaria alcuna configurazione. Questi registri eventi sono abilitati per impostazione predefinita e sono disponibili nel Visualizzatore eventi nel canale Registri applicazioni e servizi\Microsoft\Windows\Time-Service\Operational.
Elenco di registri eventi
Nella sezione seguente vengono descritti gli eventi registrati per l'uso in scenari di tracciabilità.
Questo evento viene registrato all'avvio del servizio Ora di Windows (W32Time) e registra le informazioni sull'ora corrente, il conteggio tick corrente, la configurazione del runtime, i provider di servizi orari e la frequenza di clock corrente.
Descrizione dell'evento
Avvio del servizio
Dettagli
Si verifica all'avvio di W32Time
Dati registrati
Ora corrente nel formato ora UTC
Conteggio tick corrente
Configurazione di W32Time
Configurazione del provider servizi orari
Frequenza di clock
Meccanismo di limitazione
Nessuno. Questo evento viene generato a ogni avvio del servizio.
Esempio
W32time service has started at 2018-02-27T04:25:17.156Z (UTC), System Tick Count 3132937.
Comando:
È anche possibile recuperare queste informazioni usando i comandi seguenti
Configurazione di W32Time e del provider servizi orari
w32tm.exe /query /configuration
Frequenza di clock
w32tm.exe /query /status /verbose
Questo evento viene registrato all'arresto del servizio Ora di Windows (W32Time) e registra le informazioni relative all'ora e al conteggio tick correnti.
Descrizione dell'evento
Arresto del servizio
Dettagli
Si verifica all'arresto di W32Time
Dati registrati
Ora corrente nel formato ora UTC
Conteggio tick corrente
Meccanismo di limitazione
Nessuno. Questo evento viene generato a ogni arresto del servizio.
Testo di esempio:W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
Questo evento registra periodicamente l'elenco corrente di origini ora e l'origine ora scelta. Registra anche il conteggio dei tick corrente. Non viene generato ogni volta che viene modificata un'origine ora. Questa funzionalità viene fornita da altri eventi elencati più avanti in questo documento.
Descrizione dell'evento
Stato periodico del provider client NTP
Dettagli
Elenco di origini ora usate dal client NTP
Dati registrati
Origini ora disponibili
Server di riferimento ora scelto al momento della registrazione
Conteggio tick corrente
Meccanismo di limitazione
Registrazione eseguita ogni otto ore.
Testo di esempio: stato periodico del provider del client NTP:
Il client NTP riceve i dati sull'ora dai server NTP seguenti:
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); e il server ora di riferimento scelto è Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63). Conteggio tick di sistema 13187937
Comando È anche possibile recuperare queste informazioni usando i comandi seguenti
Identificare i peerw32tm.exe /query /peers
Descrizione dell'evento
Configurazione e stato del servizio Ora
Dettagli
W32Time registra periodicamente la configurazione e lo stato. Questa operazione equivale a chiamare:
Questo evento registra ogni istanza in cui viene modificata l'ora di sistema tramite l'API SetSystemTime.
Descrizione dell'evento
Impostazione dell'ora di sistema
Meccanismo di limitazione
Nessuno.
Questo evento si verifica raramente nei sistemi con una ragionevole sincronizzazione dell'ora e viene registrato ogni volta che si verifica. L'impostazione TimeJumpAuditOffset viene ignorata quando viene registrato questo evento poiché è specifica per la limitazione degli eventi nel registro degli eventi di sistema di Windows.
Descrizione dell'evento
Modifica della frequenza di clock del sistema
Dettagli
La frequenza di clock del sistema viene costantemente modificata da W32Time nei casi di sincronizzazione ravvicinata del clock. L'obiettivo è acquisire modifiche "ragionevolmente significative"apportate alla frequenza di clock senza sovraccaricare il registro eventi.
Meccanismo di limitazione
Tutte le modifiche di clock inferiori a TimeAdjustmentAuditThreshold (min = 128 parti per milione, valore predefinito = 800 parti per milione) non vengono registrate.
La modifica 2 PPM (parti per milione) nella frequenza di clock con la granularità corrente produce una modifica di 120 μsec/sec nell'accuratezza dei clock.
In un sistema sincronizzato la maggior parte delle modifiche è al di sotto di questo livello. Se vuoi eseguire un tracciamento con valori inferiori, questa impostazione può essere modificata usando un valore inferiore oppure puoi usare PerfCounters. Puoi anche eseguire entrambe le operazioni.
Descrizione dell'evento
Modifica delle impostazioni del servizio Ora o elenco dei provider servizi orari caricati.
Dettagli
La rilettura delle impostazioni di W32Time può causare la modifica in memoria di alcune impostazioni critiche, con ripercussioni sull'accuratezza complessiva della sincronizzazione dell'ora.
W32Time registra ogni occorrenza durante la rilettura delle impostazioni con un potenziale impatto sulla sincronizzazione dell'ora.
Meccanismo di limitazione
Nessuno.
Questo evento si verifica solo quando un aggiornamento di un amministratore o di protezione generale modifica i provider servizi orari e quindi attiva W32Time. Viene registrata ogni istanza di modifica delle impostazioni.
Descrizione dell'evento
Modifica delle origini ora usate dal client NTP
Dettagli
Il client NTP registra un evento con lo stato corrente dei server/peer di riferimento ora quando cambia lo stato di un server/peer di riferimento ora (In sospeso ->Sincronizza, Sincronizza -> Non raggiungibile o altre transizioni)
Meccanismo di limitazione
Frequenza massima: solo una volta ogni cinque minuti per proteggere il registro da problemi temporanei e da implementazioni di provider non valide.
Descrizione dell'evento
Modifiche del numero di strato o dell'origine del servizio Ora
Dettagli
Il numero di strato o l'origine del servizio Ora W32time sono fattori importanti nella tracciabilità dell'ora e qualsiasi modifica deve essere registrata. Se W32Time non dispone di un'origine ora e non è stato configurato come origine ora affidabile, non si annuncerà più come server di riferimento ora e per impostazione predefinita risponderà alle richieste con alcuni parametri non validi. Questo evento è fondamentale per tenere traccia dei cambiamenti di stato in una topologia NTP.
Meccanismo di limitazione
Nessuno.
Descrizione dell'evento
È richiesta la risincronizzazione dell'ora
Dettagli
Questa operazione si attiva:
Quando si verificano modifiche di rete
Quando il sistema si riattiva dalla modalità ibernazione/standby connesso
Quando non viene eseguita la sincronizzazione per molto tempo
Quando l'amministratore invia il comando di risincronizzazione
Questa operazione comporta la perdita immediata dell'accuratezza di sincronizzazione granulare dell'ora perché causa la cancellazione dei filtri nel client NTP.
Meccanismo di limitazione
Frequenza massima: una volta ogni cinque minuti.
È possibile che una scheda di rete non valida (o uno script errato) attivi ripetutamente questa operazione sovraccaricando i log. È pertanto necessario limitare questo evento.
Una sincronizzazione accurata dell'ora richiede molto più di cinque minuti e la limitazione non comporta la perdita delle informazioni sull'evento originale che ha causato la perdita di accuratezza dell'ora.