Windows XPでのシステム日付変更の追跡

PCでシステム時間が変更されたときを追跡したいのですが、イベントビューアーを見て、イベントID 520を取得します。しかし、ウィンドウで手動で日付を変更し、イベントビューアーを見ると、1つの日付変更で4つのエントリが見つかりました。

さて、その4つのエントリの最後のエントリには以下の説明があります

The system time was changed.
 Process ID:    1932
 Process Name:  C:\WINDOWS\system32\rundll32.exe
 Primary User Name: nav
 Primary Domain:    PC132
 Primary Logon ID:  (0x0,0x115A0)
 Client User Name:  nav
 Client Domain: PC132
 Client Logon ID:   (0x0,0x115A0)
 Previous Time: 10:18:32 AM 8/23/2013
 New Time:  10:18:32 AM 8/24/2013

他の3つのエントリはすべて表示します

The system time was changed.
 Process ID:    1932
 Process Name:  C:\WINDOWS\system32\rundll32.exe
 Primary User Name: navaneeth a
 Primary Domain:    PC132
 Primary Logon ID:  (0x0,0x115A0)
 Client User Name:  navaneeth a
 Client Domain: PC132
 Client Logon ID:   (0x0,0x115A0)
 Previous Time: 10:18:32 AM 8/24/2013
 New Time:  10:18:32 AM 8/24/2013

日付変更に対するこれら4つのエントリの意味は何ですか？

また、システムの日付変更履歴またはログを取得する方法はありますか？

イベントID -520を説明するには：

プロセス名：時間を変更したプロセスのパスと名前。通常、rundll32.exe（コントロールパネル）、cmd.exe（時刻コマンド）、またはsvchost（Windows時刻同期サービスまたはNTPに関連してシステムによって時刻が変更された場合）

プライマリユーザー名：自動的に変更された場合、ローカルシステムに対応します。それ以外の場合は、コントロールパネルまたは時間コマンドで変更された場合、実際のユーザーを識別します。

プライマリドメイン：ユーザーのドメイン

プライマリログオンID：ユーザーのログオンセッションイベントID 528または540のログオンIDと相関

クライアントユーザー名：ログイン名

クライアントドメイン：内部ドメイン

クライアントログオンID：ログオンID

前の時間：前のシステム時間

新しい時間：現在の変更された時間

それに加えて、4番目のエントリのイベントIDは515です。

テクネットから：

このイベントレコードは、ログオンプロセスがローカルセキュリティ機関（LSA）に登録されたことを示します。また、このソースからのログオン要求が受け入れられるようになります。ログオンプロセスは、端末やネットワークなどの外部デバイスから識別情報と認証情報を収集する信頼できるコンポーネントです。これらのユーザーは、ローカルセキュリティ機関サービスを使用してログオンします。1つのシステムで複数のログオンプロセスを同時にサポートできます。

システムの日付

あるいは、変更を追跡し続けるためにmyeventviewerを試すことができます。

イベントビューアのプロパティで上書きが無効になっているため、ログが複数回記録される可能性があります